A Comcast é uma das maiores empresas de mídia, entretenimento e comunicações do mundo, servindo mais de 50 milhões de clientes nos Estados Unidos. A empresa tem mais de 125 mil funcionários, e uma de suas bases para se manter competitiva é um foco em tecnologia.

Porém, o próprio tamanho e diversidade da Comcast trouxeram dificuldades no processo de inovação, e a criação e geração de um programa sólido de APIs foi uma forma de combater tais problemas.

O início desse processo foi dado com as tentativas de criação de recursos que promovessem a melhoria da experiência dos clientes. Nesse ponto, os sistemas legados, construídos sem uma visão de microserviços a longo prazo, tornaram a abordagem de inovação lenta e ineficiente.

Cada nova integração era dolorosa, levando algumas semanas para completar o processo. As equipes enfrentavam dificuldades em compartilhar dados e recursos. Pior ainda, cada nova integração tinha de começar do zero, pois não havia nenhuma intenção em tornar o processo reutilização.

A partir daí, uma iniciativa geral, encabeçada pela Diretoria, tomou lugar, promovendo a criação de APIs internas interdepartamentais. A Comcast substituiu sistemas legados por um programa interno que conta com mais de 80 APIs e se espalha pelos departamentos da empresa.

A plataforma interna de APIs se chama CodeBig, e conta com um gerenciamento de cada API. A ênfase no gerenciamento foi dada pela diversidade de projetos e APIs sendo criadas e trabalhadas em paralelo, por equipes que não se conhecem, mas que muitas vezes têm objetivos em comum. As APIs gerenciadas promoveram centralização e uma abstração da parte mais técnica.

Ou seja, cada integração feita com parceiros levaria muito menos tempo com a nova infraestrutura, em que não é mais necessário um alto nível técnico para fazer a integração, e onde as diferentes APIs permitem acesso à recursos antes enterrados nos sistemas legados.

Veja tudo que a Comcast conseguiu com o sistema de gerenciamento de APIS centralizado:

• Controle e monitoração do tráfego de cada API em uma dashboard única;
• Controle de acessos, emissão de chaves para apps e usuários. Cada equipe tem controle total das apps que estão acessando sua API;
• Capacidade de escalar rapidamente em termos de infraestrutura e novas APIs. CodeBig começou com cerca de 10 APIs e hoje já suporta mais de 80;
• Redução de retrabalho e criação de APIs e aplicações repetidas;
• Segurança no acesso de dados, feita em cada API através do protocolo oAuth2;
• Redução do tempo de integração com parceiros de 4 semanas para algumas horas.

Hoje, as APIs da Comcast são todas internas, garantindo a integração manual com alguns parceiros estratégicos. Há alguma insatisfação da comunidade de devs que gostaria de participar dessa empreitada tecnológica enorme. Os benefícios de ter APIs abertas não serias somente da comunidade. A própria Comcast ganharia muito abrindo APIs. Se quiser saber como, dê uma olhada em 5 formas de monetizar uma API. A forma número 5 já está sendo usada por eles.

Porém, isso não para aí. É fácil perceber que o CodeBig propiciou toda a criação da infraestrutura de APIs, montada de forma a escalar sempre que for interessante ou necessário. Isso significa que, no momento em que eles quiserem abrir suas APIs para o público externo, será possível fazer isso em questão de horas. Tal liberdade jamais seria possível com um sistema legado.

Os planos para divulgação dos primeiros SDKs abertos ainda não estão totalmente claros, mas espera-se que a empresa abra suas portas para os devs externos ainda esse ano. Que isso aconteça e que as empresas de mídia e tecnologia brasileiras copiem!

O time de Engenharia de Software da Comcast conta com mais de mil pessoas e ampla aplicação dos conceitos que sempre comentamos aqui no blog. Mas você acha que para ter uma API e conseguir todas as vantagens citadas acima, é preciso ter tudo isso? A resposta é NÃO!

Se quiser saber como, confira nossos Webinars de Gerenciamento de APIs e Design de APIs

Referências:

• http://www.mashery.com/sites/default/files/Comcast-Case-Study.pdf
• http://readwrite.com/2014/05/30/comcast-puts-off-developers-apis
• http://www.citeworld.com/article/2115507/development/comcast-mashery-api-platform.html
• http://pt.slideshare.net/HaiThai/comcast-codebig-an-api-platform
• http://www.cepro.com/article/comcast_to_open_api_for_xfinity_home_automation_adds_nest_arlo_lutron_skybe/

O post As APIs no mercado de mídia e entretenimento – Parte 3: Comcast apareceu primeiro em Sensedia.

No dia 09 de abril de 2015, foi lançado o primeiro post dessa série. Sim, 10 posts, cerca de 10 mil palavras e mais de dois meses depois, chegamos à nossa conclusão. Esperamos que a série tenha sido útil até agora. Estou bastante orgulhoso desse projeto!

Se você chegou perdido aqui, recomendo que confira também os posts anteriores da série:

• I – Onboarding;
• II – Documentação;
• III – Materiais Educativos;
• IV – Comunicação com devs e parceiros;
• V – Conta do Desenvolvedor;
• VI – Monetização e serviços;
• VII – Ambiente de Desenvolvimento;
• VIII – Gerenciamento de Código;
• IX – Suporte, Atualizações e Pesquisa.

Quer ter todos os posts, reunidos, arrumados e organizados, para o seu conforto? Então baixe o Ebook de Blocos de Construção! Clique aqui ou na imagem abaixo:

No post de hoje, vamos falar sobre outra parte vital da Documentação da sua API, mas que não será tratada por devs, gerentes ou marqueteiros. Trata-se do Jurídico, ou seja, quais são as implicações do uso da sua API e regras gerais para manter seguro o conhecimento produzido pelos seus usuários e pela sua comunidade.

Além disso, também vou falar um pouco sobre Softwares para Gerenciamento de APIs. Vamos começar!

Jurídico

No primeiro post da série, quando tratávamos de Onboarding, comentamos brevemente sobre uma Introdução aos Termos Legais. De modo geral, essa página simples, com os pontos mais importantes, deve existir.

Porém, uma API tem seu poder na criação de conteúdo, código e algoritmos. Portanto, informação rica sobre como proteger isso deve existir, com acesso facilitado, para que qualquer dev saiba se seu trabalho está quebrando alguma regra e que direitos ele tem sobre suas próprias contribuições.

Essa é uma questão básica de confiança entre a comunidade de devs e o dono da API. Obviamente, cada API é um caso diferente. Os Blocos que virão a seguir ajudam a definir as categorias mais importantes no assunto.

Fique atento ao fato de que você precisa de um advogado ou alguém que trate desses assuntos profissionalmente. Quando se trata de leis e regulamentações, amadorismo pode ser bastante prejudicial para o seu negócio.

Termos de Uso e Serviço

Já viu aquela parede de texto que muita gente clica “Li e concordo”, sem nem bater o olho na primeira palavra? Cada API, software, site e serviço tem suas definições de Termos de Uso.  Infelizmente, esses termos costumam ser longos e bem complexos (e é exatamente por isso que recomendamos a presença de um advogado na confecção desses termos).

Mesmo sendo maçantes, é aqui que você irá proteger a si mesmo de usos abusivos da API, além de definir os direitos da comunidade de devs. Por exemplo, as taxas limite de uso da API são um Bloco que já falamos na parte de Documentação e é relevante também na Conta de Desenvolvedor. Essas taxas te protegem de alguém que está consumindo dados excessivamente, em detrimento de outras apps.

Há inúmeros outros tipos de barreiras que devem estar presentes nos Termos de Uso da sua API. Recomendo que leia os exemplos abaixo e consulte advogados especialistas em software.

Uma forma comum (e menos chata) de delimitar direitos e obrigações dos devs é listar tudo que pode ou não pode ser feito com a API. Veja abaixo o exemplo do Linkedin, que é bastante completo.

Exemplos: Foursquare, Linkedin, Google

Regulamentação financeira

Há dois aspectos diferentes aqui. O primeiro, caso sua API seja paga, é delimitar bem cada pacote ou faixa de preço para usufruir da API. Falamos do assunto com mais detalhe na parte 6 da série.

Já a outra parte é aquela referente a monetização de apps sobre sua API. Ou seja, de que forma alguém pode ganhar dinheiro usando a sua API. É comum que essa parte seja uma subseção dos Termos de Uso.

Algumas APIs permitem que apps monetizem, enquanto outras se reservam ao direito de taxar os que tiverem intenções comerciais. Ainda há os casos que proibem qualquer monetização, principalmente se sua app executar funções que gerem concorrência direta para os donos da API.

Exemplos: Foursquare (parte V), Instagram (parte 5), Linkedin (seção 1.4), Google (seção 9.c)

Política de Privacidade

A Política de Privacidade serve para proteger a informação. Por tabela, as pessoas que estão usando o serviço e depositam dados nele também tem sua privacidade resguardada. Isso ainda vale para parceiros e desenvolvedores, que estão contribuindo para seu crescimento através da criação de apps e atração de novos usuários.

É comum que essa política seja geral para os dados, e não específica para a API, ou seja, se aplica para toda e qualquer informação mantida pelo provedor do serviço. Você deve se atentar para não criar limitações em excesso para os devs, de forma a buscar um equilíbrio entre os dados expostos através da API (e a capacidade de criar inovação pela comunidade) e a segurança dos usuários.

A API do Twitter tem até um método que retorna a Política de Privacidade deles! Muito legal.

Exemplos: StackExchange, API2Cart, Jawbone

Direitos de imagem da marca e atribuição

Toda provedora de API também tem interesse que sua marca e/ou serviço sejam reconhecidos. É claro que isso não deve ser feito de qualquer jeito. Uma série de regras de como usar a imagem, logo, fontes e fundos devem ser seguidas para que terceiros possam se adequar à exposição daquela marca.

Além da parte visual, algumas APIs também definem certos direitos de atribuição. Isso significa que certos dados expostos pelos devs (através da API) devem ser atribuídos ao seus donos, e ao mesmo tempo, não se pode declarar afiliação aos expositores da API. Esses direitos estão categorizados pela Creative Commons, e conforme essa organização, podem ser especificados pelo autor (no caso, o dono da API).

Exemplos: Foursquare (trademark), Foursquare (atribuição), Stack Exchange, Citrix

Direitos sobre o código

Tanto o código da sua API quanto o código gerado pela comunidade devem ser protegidos. Muitas APIs expõem seu código através de Licença de Software Livre. O Github é o principal repositório para isso e contém uma descrição bastante instrutiva sobre esse tipo de licença.

Também há casos em que a API usa bibliotecas externas, mantidas sob Licenças específicas que são gratuitas, mas pedem reconhecimento pela propriedade intelectual. O Instagram faz isso bem claramente (ver abaixo).

Na parte 8, em que falamos sobre Gerenciamento de Código, também comentamos sobre SDKs e Bibliotecas criadas por terceiro para usar a API em linguagens não suportadas pelo dono dela. Muitas vezes esses softwares também têm suas próprias licenças de uso.

Exemplos: Docker, Twilio, Instagram

Software de Gerenciamento de APIs

Já abordamos esse assunto nesse post. Por definição, um Software de Gerenciamento de APIs é definido como uma camada de software entre aqueles que querem acessar dados e o backend, ou seja, os dados. Portanto, esse software é quem de fato expõe a API ao meio externo, onde os dados poderão ser manipulados.

Desse modo, a plataforma consegue assegurar níveis de proteção mais altos aos dados, e consequentemente, à comunidade toda (que depende desses dados) e é claro, à você, que está expondo a API e sua própria empresa.

Ainda fica garantida a capacidade de analisar os resultados gerados pela API, como aqueles devs que mais usam a API e assim são promotores dela para outros devs. Falamos desse efeito nos Slides de Indicadores para APIs e na série de Plano de Marketing para APIs.

Por fim, a maioria dos provedores de plataformas ainda disponibilizam ferramentas bem completas para a criação de Portais para devs, com documentação e fórum prontos. O Onboarding fica facilitado e as integrações com cada novo parceiro ou dev tornam-se simples e praticamente instantâneas!

Existem alguns provedores internacionais, como Mashery e 3Scale. Porém, no Brasil, a Sensedia é o principal player! Se quiser conhecer mais sobre nosso produto, o API Management Suite, é só clicar aqui. Não vou ficar vendendo o produto da Sensedia ou comparando os provedores pois não faria sentido fazer isso aqui nessa série de posts.

Conclusão

Mesmo com todo o conteúdo trazido nessa série, abordando diversos tópicos da exposição de uma API, há ainda inúmeros assuntos que podem ser levantados, cada um deles com grande profundidade e riqueza de informação.

Ou seja, ao mesmo tempo em que cada uma das dicas dada nessa série foi embasada na opinião de profissionais que trabalham diariamente com APIs e com exemplos de APIs reais, a maioria dos assuntos não foi coberto de forma profunda, e servem mais como guidelines ou uma checklist do que como um manual sobre APIs.

Em especial, o assunto Gerenciamento de APIs já foi tema de um Webinar. Se você nunca assistiu esse Webinar, acesse aqui! Também já fizemos outros Webinars complementares à essa série, como Design de APIs e Segurança de APIs.

Use os links acima e todos os outros links deixados ao longo da série, assim como os exemplos em cada um dos Blocos de Construção comentados para aprofundar seu conhecimento. Também comente abaixo! Adoraríamos ouvir seu feedback sobre essa série.

Obrigado pela atenção!

O post Blocos de Construção – FINAL: Jurídico e Software de Gerenciamento apareceu primeiro em Sensedia.

Bom dia, eu sou sua API

Você sabia que o seu aplicativo de alarme, usado no seu celular, só funciona graças à uma API? Existe uma função bem simples no processador do seu smartphone, que indica que horas são e quanto tempo passou. O aplicativo consegue ler isso e contar o tempo, para que você possa acordar e tomar café, fazer exercício, levar as crianças à escola, trabalhar e assim por diante.

Essa é uma forma de ver como as APIs estão profundamente inseridas no seu cotidiano, começando pelo alarme, passando pelos sites e apps que você acessa, até dispositivos embarcados como seu carro e televisão.

Ainda não entendeu o que é uma API ou como ela funciona? Então confira nossa série de posts O que são APIs.

Por conta disso, o crescimento na exposição e consumo de dados abertos é evidente. Todos querem uma API de sucesso! Veja esse gráfico no aumento de número de APIs ao longo dos anos:

Por que eu exporia meus dados?

Há diversas razões que podem levar uma empresa a expor APIs. Alguns exemplos:

• Novos fluxos de Rentabilidade (leia esse post sobre 5 formas de ganhar dinheiro com APIs);
• Capacidade de integrar seu serviço à infinitos outros: O Marketplace Extra.com.br expõe APIs para que lojistas se conectem com mais velocidade e vendam seus produtos utilizando a bandeira Extra;
• Fortalecimento de marca em novas mídias e para novos públicos: O Twitter criou, assim como muitos outros provedores de soluções de SaaS, um verdadeiro ecossistema de aplicativos integrados às suas APIs;
• Inovação como você nunca havia imaginado: Empresas como ESPN, Google, Facebook, Evernote e Foursquare vêm realizando Hackathons (maratonas de programação) e concursos de aplicativos que premiam o uso das APIs de formas inovadoras;
• Experiência Mobile para seus clientes: muitas empresas estão investindo no conceito de Omnichannel;
• Arquitetura interna de TI organizada: A Amazon trata todos os seus serviços internos como APIs, promovendo o reuso e o controle de operações já existentes, evitando gastos desnecessários e economizando recursos;
• Etc.

Mas para que suas APIs tragam os resultados esperados, é fundamental que a equipe que irá desenvolvê-las tenha algumas precauções.

Tendo em vista esses cuidados, confira esses cinco pontos que deixarão sua estratégia de APIs mais alinhada ao negócio e muito mais próxima do resultado esperado:

1) Sua proposta de valor

O primeiro passo para se ter uma API de sucesso é saber qual o potencial valor que será gerado por ela para o seu público – parceiros restritos, desenvolvedores internos ou externos – e para o negócio.

Sua API deve ser encarada como um produto novo, e o que fará diferença é o quanto ela será desejada pelo público que irá utilizá-la (esse fator também é comumente chamado de “desirability”). Ou seja, precisa trazer informações ou transações úteis que possam atacar necessidades existentes e atrair outras empresas e seus desenvolvedores.

Nesta etapa, além de definir para qual público será direcionado o uso da API, algumas outras decisões são importantes, tais como: definir se o acesso será irrestrito ou cobrado (veja outras formas de ganhar dinheiro com APIs) e dimensionar possíveis reflexos que a API poderá trazer para o seu modelo de negócios (não cometa o mesmo erro da ESPN), entre outros.

2) Capriche no Design

Invista em um design atraente e, ao mesmo tempo, simples.

Isto é, uma API precisa ser bem projetada e desenvolvida. A opção por tecnologias modernas e leves como REST e JSON é um ótimo ponto de partida.

Existem diversas decisões de design como nomenclatura, formação dos recursos, versionamento, paginação, caching, entre vários outros, que influenciam de forma decisiva na facilidade de entendimento e de uso da API. Mesmo que as regras de negócio sejam complexas, as APIs devem ser modeladas tendo como mote a simplicidade.

Não sabe como fazer o design? Confira nosso Webinar gratuito.

3) Facilite o “onboarding”

Uma API só pode ter sucesso se for consumida por um desenvolvedor – parceiro ou cliente. O acesso a tudo o que ele precisa deve ser rápido e descomplicado.

O tempo gasto até que um aplicativo de parceiros esteja integrado à API deveria ser medido em horas ou dias, e não em meses, como acontece com os métodos “tradicionais” de integração de informações. O indicador que gostamos de usar é o Time to First Hello World (TTFHW).

Uma boa dica aqui é: crie um portal para facilitar a integração com os desenvolvedores e desmistificar o processo para a audiência.

Em seu site para desenvolvedores (“http://developers.[nome_da_sua_empresa].com”), todo conteúdo necessário para que um desenvolvedor utilize as APIs deve ficar disponível: desde tutoriais práticos e exemplos de como os aplicativos devem interagir com a API, até valores de acesso, caso seja cobrado.

Eu poderia passar horas aqui falando as melhores práticas. Porém, tudo isso já está explicadinho, em detalhes, com muitos exemplos de APIs reais, no nosso Ebook de Blocos de Construção para exposição de APIs. É gratuito!

4) Adicione controle e segurança

Já dizia uma antiga propaganda de uma famosa marca de pneus: “potência não é nada sem controle”.

Algumas precauções devem ser levadas em conta ao liberar, mesmo que automaticamente, o acesso a um desenvolvedor que você não conhece.

Adicionar políticas que limitam o uso indevido das APIs é uma excelente estratégia. Soluções de API Management são capazes de aplicar políticas de “Rate Limiting” e“Throttling” que auxiliam muito na proteção do seu backend. Veja um pouco mais sobre o assunto aqui.

Para expor as APIs com segurança, você deve escolher usar canais seguros (SSL) e padrões de autenticação. O padrão mais famoso (e recomendado por mim) é o OAuth 2.0 (também temos um conteúdo especial sobre Segurança de APIs).

Lembre-se de que suas APIs devem evoluir e precisam manter o ambiente operacional saudável. Para isso, as ferramentas também devem ser capazes de fazer o rastreamento das chamadas, monitorar o ambiente e saber como os aplicativos estão utilizando as APIs.

5) Amplie o alcance

Sua API já está disponível, agora é hora de atrair o maior número possível de desenvolvedores para trabalhar com ela (de acordo com a sua estratégia, é claro). Se o número de desenvolvedores interessados estiver aquém do previsto, revise os passos anteriores, principalmente o primeiro.

Uma forma de ampliar o alcance e promover o uso de suas APIs é organizando eventos como os Hackathons, uma verdadeira maratona de programação para que a comunidade de desenvolvedores possa conhecer e utilizar sua API “on-the-job”.

Organizar competições entre desenvolvedores e premiar os melhores é uma excelente receita para que os Hackathons tragam melhores resultados.

Veja mais nessa série de artigos sobre Marketing para APIs.

—

Adotar APIs faz com que o ecossistema em torno da sua plataforma ou marca se torne mais abrangente. A rede de desenvolvedores e parceiros cresce com mais rapidez e possibilita processos de cocriação de novos serviços e produtos e promove a inovação.

Espero que essas dicas ajudem e direcionem você e sua empresa a estudarem a possibilidade de adotar uma estratégia de APIs, pois essa estratégia tem se mostrado quase que um caminho sem volta para o futuro de empresas que estão conectadas. E todas estão.

Se quiser receber outros conteúdos bem bacanas sobre APIs e Negócios Digitais no conforto do seu email, preencha o formulário abaixo. Nossa newsletter é quinzenal e já tem mais de 6000 inscritos!

O post Cinco passos essenciais para uma API de sucesso apareceu primeiro em Sensedia.

Você já parou para pensar na história das integrações e como essa troca de informações tão essencial para todos os negócios é possível?

Nos dias atuais, as APIs são sempre muito bem faladas por facilitar a integração e trabalhar de maneira maravilhosa com o protocolo HTTP. Mas você conhece todos os diferenciais que ela pode te proporcionar?

Hoje, vou contar a história das Integrações entre sistemas até chegar na atualidade, e mostrar o motivo pelo qual as APIs estão deixando esse universo tão incrível!

O Início

Tudo começou com o saudoso FTP.

Talvez você se lembre desse protocolo, onde cada sistema realizava troca de arquivos em um processo bastante simples, mas muito pobre e praticamente sem segurança.

Muitos sistemas trabalhavam com FTPs para poder se comunicar. Utilizando de um “mapa” de descrição de arquivos, cada sistema conseguia ler as informações necessárias e utilizar os dados contidos para realizar atividades críticas. Por exemplo, leitura de dados de venda dos arquivos de cupons fiscais gerados por um PDV (ponto de venda).

Porém, a segurança era feita somente por uma senha. Se um usuário conseguisse a senha conseguiria pegar todos os arquivos mantidos na pasta e se divertir com o seu sistema inteiro.

Uma troca de informações totalmente sem segurança, controle, na qual o seu sistema inteiro estava vunerável…. mas é ai que se dá inicio a nossa jornada

O avanço para Web Services

Com a evolução da tecnologia e das linguagens de programação, a integração passou para o próximo nível, os Web Services.

Os Web Services conseguem realizar a integração entre parceiros. E, como o próprio nome já nos conta, é um serviço disponível na Internet.

Isso significa que é possível disponibilizar uma parte de seu backend através da web, de forma que qualquer um com a URL de chamada do seu Serviço consegue acessar e ter um retorno (um XML, por exempo) com as respostas de sua requisição.

Nesse ponto da história, já era possível abandonar a manipulação de arquivos de textos por uma tecnologia de XML SOAP mais elaborada e com maiores poderes de organização da informação. Tremendo avanço!

Assim, tornou-se possível identificar nós e tipos de informação, já que na leitura de arquivos era necessário um “mapa” para saber onde estava cada informação e convertê-la para o tipo de dado necessário no sistema do parceiro que estava consumindo a informação.

Apesar deste caminho da informação mais estruturado, ainda é possível encontrar muitas falhas de segurança e controle da informação. Isso porque a exposição desta maneira faz com que a velocidade de alterações seja complicada, sem autenticação e reconhecimento de cada usuário que está utilizando o Web Service.

Ou seja, simplesmente não há controle de quem está acessando. Qualquer um com acesso poderia fazer barbaridades no sistema e o dono do backend teria poucas opções para limitar a pessoa certa.

Como então conseguir componetizar o seu backend?

Ou seja, como conseguir separar o seu sistema em pequenas partes ou serviços para que ele não fique totalmente aberto para ataques e para que as atualizações aconteçam de forma mais rápida, sem que afete todo o sistema?

A resposta é simples: SOA!

Arquitetura Orientada a Serviços (SOA) não é nada mais que uma maneira de organizar seu sistema e “separá-lo” baseado nos Serviços que ele pode realizar ou oferecer.

Desta maneira, é possível expor apenas aquela funcionalidade que você desejar sem que o resto do seu backend seja afetado, realizar manutenções de maneira muito mais simples e deixar a porta aberta apenas para um pedaço específico de sua casa, ou melhor, de seu sistema.

Com esse avanço, o mundo já estava apenas a um passo da melhor solução para a exposição de informação até hoje. As APIs.

As Maravilhosas APIs

Caso ainda não tenha lido, segue esses dois posts incríveis sobre o que são e sobre a eficiência dessas belezinhas.

Vou passar rapidamente por um resumo do que é API para falar de tudo que ela pode proporcionar.

Application Programming Interface, as APIs, podem proporcionar a exposição de apenas um pedaço do seu sistema de modo que o seu backend fica totalmente protegido e você consegue fazer liberação de apenas algumas funcionalidades de seu serviço, como por exemplo, apenas consulta.

Um modo de utilização deste método são busca de hotéis ou viagens, para anúncios em outros sites. Uma API que foi construída neste modelo é a  do Hotel Urbano. A partir dela, é possível buscar as ofertas disponíveis. Nesse post falamos um pouco mais sobre ela.

Realizando a exposição de seu sistema através de APIs, é possível obter o máximo de segurança de seu backend, podendo controlar através de tokens de acesso todos os seus parceiros que irão acessar o seu sistema, e também customizar as chamadas que poderão ser feitas, por exemplo apenas GETs (método do protocolo HTTP de “pegar” dados) sem que possa ser alterado alguma informação no seu sistema!

Se quiser aprender ainda mais sobre Segurança de APIs ou tudo que é necessário para a construção de uma API, basta assistir este Webinar sobre segurança ou baixar este eBook. Ambos são grauitos, então aproveite!

Está gostando? Ainda não acabei!

A partir do momento em que você gerencia da maneira correta a sua API, você consegue ter dados dos maiores consumidores, e com isso bloquear uma quantidade de chamadas de um determinado parceiro caso seja necessário.

É possível ter insights de negócio, como por exemplo, criar um programa de parceiros para bonificação dos maiores consumidores.

Além é claro, de poder ter todo o trace de chamadas e log de erros de todos os parceiros e ter uma escabilidade sem igual!

E onde esse mundo pode parar? No momento, estamos vivendo a evolução para o HTTP 2.0, o novo protocolo que as APIs com certeza vão desfrutar.

Como você pode ter visto, o que existe de mais moderno, fácil e prático para expor o seu sistema e com certeza se integrar com parceiros são APIs!

O que você está esperando então para ter a sua própria e fazer com que a sua integração através de APIs do seu sistema e consequentemente seu negócio cresça da maneira mais rápida possível?

Entre em contato conosco que com certeza vamos conseguir ajudá-los da melhor maneira possível.

Se quiser receber nossos posts em nossa newsletter quinzenal, basta colocar seu nome e email abaixo. Mais de 6000 pessoas já estão recebendo  Enquanto isso, você também pode assistir nosso Webinar de Ecossistemas Digitais.

O post As evoluções e maravilhas da Integração através de APIs apareceu primeiro em Sensedia.

O fantasminha chamado Snapchat

O mercado de redes sociais e novas formas de comunicação por meio de apps e plataformas é extremamente aquecido. Facebook parece até um tiozão no meio de projetos novos e populares como o Snapchat ou o Periscope.

Se você não conhece, o Snapchat é um aplicativo móvel para troca de fotos e vídeos curtos, muito popular entre adolescentes com mais de 30 milhões de usuários no mundo todo.

Assim como fez com o WhatsApp, o Facebook tentou comprar a empresa em Novembro do ano passado por 3 bilhões de dólares, sem sucesso. Isso que é bala na agulha hein!

Nem tudo são flores

A despeito do sucesso com os usuários, uma empresa australiana relatou que através da engenharia reversa do App para Android do Snapchat é possível descobrir as APIs e implementar programas maliciosos que se passem pelo app oficial se comunicando com o backend.

Esse tipo de engenharia reversa que “expõe” a API na marra não é tão incomum assim.

Por exemplo, quando foi lançado, o Google Maps não possuía uma API aberta. As APIs internas do produto foram descobertas e começaram a ser usadas de forma positiva, com a criação de aplicações que ajudaram a popularizar o serviço do Google.

Alguns anos depois, a API foi aberta pelo Google, o que definitivamente melhorou o suporte, documentação, funcionalidades e, é claro, a segurança da API.

No caso do Maps, existe informação sensível na forma de fotos de pessoas em certos lugares e posicionamento de casas e outros imóveis. Hoje em dia, qualquer pessoa pode pedir para ter suas fotos censuradas no site, caso sinta que sua privacidade foi prejudicada.

Apesar disso, essa informação não tem um potencial tão grande de invadir diretamente a privacidade das pessoas, como é o caso do Snapchat,  que tem bases de dados com nome, telefone e fotos tiradas  pelos próprios usuários, algumas com cunho íntimo.

Como que ignorando isso, quando a API do Snapchat foi descoberta, a empresa não deu muita bola, e um grupo de hackers explorou essa brecha e divulgou dados – nome e telefone – de mais de 4,6 milhões de usuários dos EUA e Canadá.

Mais informações sobre o incidente aqui.

Por que isso realmente aconteceu?

O erro parece bem bobo por parte do Snapchat, não é?

Afinal de contas, esses dados são estritamente pessoais. Imagino que você não queira que um grupo de hackers aleatórios acessem seu telefone e fotos que você mandou para amigos, não é?

Tenho certeza que nem os próprios desenvolvedores do Snapchat queriam isso.

Porém, ao decidir por usar as APIs apenas internamente, mas não garantir uma barreira para a engenharia reversa, o Snapchat foi negligente.

Segurança baseada em “obscuridade” não é, digamos, segura.

Algumas boas práticas de design e uma ferramenta de gerenciamento de APIs como o Sensedia API Suite poderiam ter evitado ou minimizado o dano.

Se você quiser conhecer os 10 mandamentos para exposição de APIs e garantir que sua API está prontinha para o mundo, confira esse post.

Aqui, vamos ser mais específicos e ver as boas práticas que poderiam ter evitado essa situação:

Gestão de tráfego

Soluções de API Gateway permitem que a empresa configure políticas de “rate limiting” que podem evitar que clientes externos bombardeiem a API com chamadas repetidas, bloqueando seu acesso.

Outros recursos como “IP filtering” e regras baseadas em tokens de usuários também poderiam ter ajudado.

API pública vs API privada

A brecha que foi explorada é parte da API privada do Snapchat. Quando a API é pública, o risco de usuários desavisados ou mal-intencionados agirem é maior.

Então, sendo privada, essa API poderia estar melhor protegida se amarrasse as invocações a dados específicos do dispositivo sendo usado.

Monitoramento real-time

Se a API é monitorada, situações que possam caracterizar um ataque não são difíceis de serem identificadas.

Uma ferramenta que controlasse acessos (e reagisse automaticamente) é essencial. Limitar apps abusadas, que simplesmente tenham sido programadas errado, ou que sejam realmente maliciosas, deve ser feito rápida e imediatamente.

Afinal de contas, imagino que você não queira que sua API caia para todos os seus bons clientes/parceiros por causa de uma pessoa com más intenções, certo?

Alertas

Um usuário passar uma lista de 100 mil números de telefone para a API “Find_Friends” é, no mínimo, um uso totalmente incomum.

Soluções de Gateway são também capazes de gerar alertas quando situações inusitadas começam a acontecer. Com o processo correto de análise desses alertas, esse usuários poderia ser rapidamente bloqueado.

Reflita!

Pense bem: o aplicativo móvel da sua empresa, que pode estar manipulando dados sigilosos dos usuários, possui algum tipo de proteção contra a de-compilação de seu código e uso inadequado dos serviços de backend expostos através da API privada?

E mais: A sua API é realmente privada ou somente “ligeiramente escondida”?

—
Curtiu o post? Então que tal se inscrever na nossa newsletter quinzenal? Mandamos nossos melhores conteúdos para  o conforto do seu email! Mais de 6 mil pessoas já recebem =)

O post Como evitar ataques como o sofrido pelo Snapchat apareceu primeiro em Sensedia.

Seus recursos, expostos

Sua API possui diferentes recursos, que consomem informações. Ao disponibilizar esses recursos para os seus clientes, você precisa separar os que vão utilizar o recurso A do recurso B.

Mas como resolver essa situação?

Expor uma API é colocá-la na nuvem, disponível em um servidor, chamado backend. Seu backend hospeda a API, acessível através de uma URL.

A URL fica exposta para quem quiser acessar. É claro que você deve definir se sua API será pública, privada ou restrita a parceiros (leia mais sobre isso aqui).

Além disso, é sua obrigação colocar alguma proteção nela =)

Ganhe dinheiro com sua API!

A segmentação de usuários é um assunto importante quando falamos sobre como monetizar sua API, e isso pode ser resolvido apenas segmentando acessos através de políticas de acesso (policies), que irão fazer a separação dos seus usuários em diferentes ambientes.

Por que você faria isso?

Um cenário bem comum no meio SAAS (onde você precifica sua API como um serviço) é segmentar quais dos usuários terão acesso a diferentes profundidades de informações disponibilizadas pela sua API.

Um exemplo clássico é separar usuários em planos Básico e Premium, permitindo um escopo maior de acesso aos que pagam mais pelo uso da sua API.

Uma analogia interessante é pensar em sua API como um garçom, que recebe pedidos dos clientes e retorna os pratos descritos na documentação (ou no Cardápio). Se você observar bem, nessa analogia a cozinha é o backend.

Nesse contexto, seria como treinar o seu garçom para servir na área “comum” e também na área VIP do seu restaurante.

O que o garçom serve são as informações disponibilizadas na sua API, separadas em recursos.

Os recursos são como as páginas do cardápio. Cada recurso disponibiliza diferentes tipos de informações, que serão consumidas pelos clientes, em forma de pratos.

Numa situação de um simples controle de acesso, você pode disponibilizar apenas um endpoint para cada tipo de usuário.

Mas isso não é o ideal, pois como garantir que um usuário de um plano não irá acessar o outro?

Ou ainda, como dar privilégios de acesso, ou proibir uso de um recurso para um plano mais básico?

Aqui na Sensedia, conseguimos fazer isso sem alterar nada no desenvolvimento da sua API.

Basta manter o backend intocado, simplesmente criando um efetivo controle de acesso com policies, que são regras de acesso que fazem essa segmentação.

Feito isso, basta associar cada usuário da sua API a alguma das policies que você criou!

O Gateway da ferramenta atua como uma proteção que permite o acesso aos seus recursos apenas para usuários autenticados, encaminhando os chamados com base na política especificada em cada usuário.

Ainda não entendeu bem?

Veja como é fácil no vídeo abaixo. Nele, estou estou segmentando acessos de uma API, em menos de 2 minutos:

E aí, o que achou? Bem fácil, né?

—
Que tal receber mais conteúdo gratuito e de qualidade sobre APIs, a cada 14 dias? Basta se inscrever abaixo. Não mandamos nenhum SPAM!

O post Segmentando acessos na exposição da sua API apareceu primeiro em Sensedia.

Mais química do que Breaking Bad

Como já falei para você no post sobre a evolução das integrações (se ainda não deu uma lida, vale a pena ;D), as APIs são o modo mais seguro e adequado de consumir dados de um sistema nos dias de hoje.

Com isso, eu sempre paro para pensar, como se fosse aqueles sonhos de criança, até onde vamos chegar e como podemos nos especializar ainda mais?

Deixando sempre um sistema mais leve, com utilização das últimas tecnologias provadas.  Fazendo a mistura de elementos já existentes para a criação de algo realmente valioso. Algo como transformar ferro, que é abundante e fácil de manipular, em ouro, precioso e único.

Seria bem legal, né?

A partir disso, sempre acabo pesquisando tecnologias e diferenciais sobre utilização de APIs, e a partir das minhas últimas conversas e pesquisas sobre esse mundo, percebi a existência de uma espécie de “Alquimia das APIs”, em que algumas APIs definem protocolos com o principal objetivo de tornar a experiência em outros sistemas externos muito mais interessante.

É com muito orgulho que lhe apresento o “futuro presente” das APIs.

Pensando no Futuro

A maioria das modelagens para APIs seguem a arquitetura RESTful  (leia outros posts sobre o tema), que é o mais recomendado nos dias de hoje, porém quando começamos a lidar com casos específicos essa modelagem acaba se tornando um pouco limitada.

Você deve estar se perguntando agora, se é a mais recomendada, como ela pode se tornar limitada? Bom, eu te explico!

Para realizarmos uma consulta no banco de dados com o REST por exemplo, precisamos fazer uma requisição que irá construir uma query SQL, para aí sim buscar o dado no banco, ou seja, temos três passos no processo: chamada da API, construção do SQL, requisição para o banco de dados.

Essa é uma forma muito bem estruturada de se fazer requisições, porque é simples de entender e bastante eficiente. É por isso que o REST é tão popular.

Porém, e se eu te disser que temos uma maneira de ainda realizarmos todo o protocolo REST, mas já realizar uma query de forma simples e padronizada? Demais, né!

É assim que funciona o protocolo OData, mas não é só isso.

Deixe-me lhe apresentar ao próximo passo da utilização de APIs.

A alquimia das APIs propriamente dita

Para te mostrar os elementos com que você pode criar ouro, eu separei 4 tipos (das várias) especializações que estão surgindo e deixando tudo de modo mais simples, rápido e prático.

OData

Esse é um protocolo livre que permite a criação e consumo de REST APIs como queries de forma muito simples e com um padrão muito interessante. Como eu ouvi em uma palestra: “Depois de uma cerveja, você já começa a ler as requisições como SQL”.

A partir de um metadata é possível criar vários proxies e ferramentas diferentes, que faz com que você interaja com ele, mesmo sem saber que está trabalhando com REST APIs.

No site do OData existe um manual muito simples de como realizar a criação e utilização deles, são apenas 6 passos!

O OData nasceu como uma versão inspirada no GData que foi um protocolo feito pelo Google para o mesmo fim, porém por ser de uma empresa específica, acabou não sendo tão utilizado quanto o OData, que hoje desponta como o principal recurso neste contexto.

Streaming APIs

No cenário de streaming temos muitas empresas muito famosas.

Inclusive, já falei de alguma delas como o Twitch.tv neste post. Por se tratar de algo (praticamente) em tempo real, as requisições naturais REST acabam ficando pesadas demais, causando um delay maior para quem está assistindo a transmissão.

Por este motivo, nasceram as streaming APIs.

Com o uso dessas belezinhas, você consegue uma menor latência no acesso aos dados, chegando o mais próximo possível de uma transmissão “ao vivo”.

Para você ter noção da importância desse tipo de API, até mesmo o Twitter possui uma API para este propósito, liberando os tweets de maneira mais rápida e fácil para quem vai consumir.

É desta maneira que os vídeos vêm se especializando cada vez mais, achando melhorias de conexão para que o tempo de resposta seja cada vez menor, deixando a experiência do usuário da Internet cada vez mais parecida com a da TV. O Youtube também não fica de fora dessa.

OpenID

O OpenID talvez seja o mais conhecido dentre as alquimias de APIs que estou te apresentando. Por exemplo, eu o  usava todos os dias (e você também), porém não sabia o que estava utilizando até começar a estudar de maneira mais profunda.

Esse fenômeno se trata da possibilidade de acessar múltiplos sites com uma mesma conta. Você provavelmente está fazendo isso todos os dias, toda vez que passa do GMail para o Drive, por exemplo. Muito prático!

Além do Google, Yahoo, WordPress e Microsoft estão utilizando deste recurso para manter uma experiência de usuário muito interessante, já que ele não precisa mais ficar fazendo login para acessar outras contas (e vamos ser sincero que ficar fazendo login é bem chato).

Então, OpenID para o fim de vários logins \o/

CMIS

Como conseguir manipular vários conteúdos e tipos de conteúdo de uma maneira simples utilizando protocolos HTTP? A resposta é bem simples: CMIS, ou Content Management Interoperability Services.

O CMIS consegue alterar os documentos de um repositório em objetos, facilitando a manipulação dos mesmos, e ainda fazendo com que seja possível um controle muito restrito perante esses arquivos.

Um exemplo muito prático da utilização de CMIS são documentos governamentais, que são de diferentes tipos, porém aplicando essa metodologia é possível manipulá-los de uma maneira simples.

Existem diversos tipos de ferramentas que disponibilizam esse tipo de serviço, e entre as mais conhecidas delas estão: Alfresco e OpenText.

O que mais podemos esperar?

Com a evolução constante das APIs e também a especialização para otimização de serviços, a cada dia mais vamos ver esta grande alquimia possuindo mais e mais elementos.

As grandes empresas já estão adotando muito a utilização destes estilos de APIs como é o caso da Google por exemplo, que como comentei criou o seu próprio GData, e também tem uma iniciativa vem forte em Streaming APIs. E essas novidades conseguem nos mostrar quem está sempre um passo a frente no mercado.

Porém o maior recado que quero deixar para você neste momento é que com tantas novidades surgindo, é preciso sempre utilizar a especialização para facilitar o trabalho, deixando ele cada vez mais ágil para novas ideias e com o menor número de passos possíveis para fazer o seu objetivo se tornar realidade.

Desta maneira, trabalhe com os melhores elementos para o seu negócio, manipulando as seus experimentos e entregando para o seu cliente a melhor experiência possível.

Use as dicas desse post para criar essa experiência em seus produtos e encantar seus clientes

Um abraço, e até a próxima!

O post A Alquimia das APIs apareceu primeiro em Sensedia.

O futuro já chegou

Há alguns anos, você nunca poderia se imaginar realizando consultas de sua conta bancária, pagamentos de boletos, e até transferências através de um Mobile Banking, ou seja, na palma da sua mão.

E hoje todas essas funcionalidades estão implementadas pelos maiores bancos de nosso país!

Porém, como diria um grande sábio: “O poder de transformação é uma roda que nunca para de rodar, e a cada volta ela gira mais rápido.” Para ser sincero este sábio foi o meu pai hehe

Mesmo assim, é uma das maiores verdades que conheço, e vou te provar por quê.

Imagine-se utilizando as suas informações bancárias nos aplicativos que você utiliza no dia a dia. Por exemplo, o seu aplicativo favorito de controle de gastos sincronizando automaticamente com a sua conta, tendo acesso a todos os seus gastos de cartão e conta corrente, gerando um controle exato e sem você se preocupar.

Se você já viu ou imaginou a possibilidade desse tipo de aplicação, saiba que isso acontecerá aqui mesmo no Brasil, e, ainda este ano, um dos maiores bancos do país lançará um projeto deste tipo.

Esse tendência tem nome: Open Banking. Já falamos sobre isso em 2014, e muito evoluiu desde então!

Mas afinal, o que é isso?

O que é Open Banking de fato?

Uma definição que é muito simples e gosto muito sobre esse assunto é:

Open Banking é a possibilidade de criação de novos negócios e ecossistemas digitais através de APIs disponibilizados por uma instituição bancária.

Ou seja, meios de pagamentos e serviços financeiros viabilizados com APIs! Bem simples =)

Se você achou algum desses termos utilizados desconhecidos eu recomendo dois materiais aqui no Blog: O que são APIs e Ecossistemas Digitais.

Desta maneira, é possível criar todas as possibilidades que comentei com você no começo deste artigo e muito mais, dependendo apenas da criatividade no desenvolvimento e consumo das APIs oferecidas. Ou seja, muito mais poder para inovar e criar serviços disruptivos.

A partir de agora, vou explicar os motivos que levaram os bancos a abrir esses tipos de informações para que novas ideias e integrações fossem criadas a partir delas.

Por que abrir dados?

Bom, as vantagens são muitas e aqui vou mostrar as principais delas.

E se você já está pensando logo de cara “Mas como é possível abrir dados bancários? Não deveria ser sigiloso?”. Fique sabendo que falarei sobre isso mais abaixo, e que a questão de segurança é uma das prioridades nesse tipo (e em vários outros) de API.

1 – Engajamento com usuários

Qual empresa não quer ser lembrada por facilitar a vida do usuário?

Abrindo os seus serviços para novas ideias, e criando este mar de possibilidades, a marca do Banco estará sempre presente em vários momentos do dia a dia do usuário, conseguindo até mesmo um maior número de clientes pelas facilidades que ele traz.

Por exemplo: se um banco possui um pagamento facilitado com os principais e-commerces, e integrado com o seu aplicativo favorito de controle financeiro (tudo isso sem burocracia), você ficará mais propenso a criar uma conta nesta instituição e usar seus serviços, pelas vantagens de praticidade e automação das finanças.

2 – Monetização de Serviços

Como você deve ter notado no artigo 5 modos de ganhar dinheiro com APIs (se você ainda não leu, eu recomendo!), essas belezinhas chamadas APIs, além de facilitar a sua vida, conseguem gerar dinheiro para a sua empresa através de monetização por utilização. E, para os bancos, não seria diferente.

A integração por sistema de débito automático, por exemplo, pode cobrar uma taxa por número de utilizações de um determinado parceiro.

A ideia é sempre gerar mais valor para o cliente, e criar estratégias de parcerias via API pode ser a forma de trazer esse valor!

Pode ser definido um limite de chamadas por um aplicativo, por dia, e quando esse limite for ultrapassado, uma taxa deve ser paga. Ou então, é possível criar um plano de parceiros, com redução nos custos de uso conforme o volume de chamadas aumenta.

Como você pode notar, nesta parte cada uma das APIs pode ganhar o seu plano de monetização individualmente, e para uma boa aprofundada no assunto você pode ler este post.

3 – Posicionamento Inovador

No mercado, não importa o seu segmento, o pioneirismo é uma das coisas que mais gera visibilidade de marca, e além disso, ser referência de tecnologia e inovação é uma posição muito privilegiada.

Deste modo, o lançamento de diversos serviços, e diferentes de seus concorrentes lhe garantirão este posicionamento, pois a integração com o maior número de aplicativos (ou melhor, com os aplicativos certos para o seu público) garantirá um caminho longo e prospero de inovação.

Além disso, há fortes indícios de uma adoção em massa das APIs nas maiores empresas do mundo, como previsto pelo Gartner. Os bancos já perceberam que há inúmeras startups e serviços disruptivos no mercado, que podem colocar a sua base de clientes em risco.

Então, eles não querem ficar de fora do posicionamento estratégico de APIs.

Então, se você ainda não começou esta empreitada, não se desespere, mas corra e faça algo diferente dentro do seu mercado.

4 – Evitar que outras empresas realizem o seu serviço

Sendo assim, é inevitável o lançamento de APIs por parte destes players de mercado, pois hoje mesmo já existem diversas empresas que conseguem oferecer pequenos pedaços de serviços que os bancos oferecem de forma aprimorada e especializada.

Basta ver a imagem abaixo para entender como o mercado de banking se espalhou e possibilitou o crescimento de serviços que se comunicam via API. Particularmente, já uso o Nubank e gosto muito!

Nela conseguimos ver todos os serviços bancários sendo prestados por startups, onde cada parte de uma página bancária possui até mais de um provedor do serviço. Essas startups estão sendo conhecidas como fintechs, pois são fornecedoras de serviços financeiros em um ambiente altamente tecnológico.

A primeira vez que vi esta imagem, fiquei muito impressionado, para ser sincero!

Ainda mais por saber que as iniciativas de Open Banking ainda estavam engatinhando. Porém, de alguns anos para cá os esforços bancários em tecnologia só vêm aumentando e hoje alguns bancos internacionais já conseguem competir com serviços financeiros e tecnológicos, oferecendo ótimas soluções digitais de maneira rápida e especializada.

E a questão de Segurança?

Uma das maiores preocupações para o lançamento de um projeto de Open Banking é a segurança de dados dos correntistas, além mesmo de prevenir o próprio banco de ataques hackers.

Mas como eles devem combater isso? A resposta é bem simples: uma boa estrutura de Design de APIs e ótimas práticas de desenvolvimento, alinhados com um controle extremamente rígido de API Management FullCycle faz com que a maioria desses problemas de segurança seja sanado.

Para aprofundamento do assunto eu indico um post e um Webinar: Os fundamentos da Segurança em APIs e Equipe sua API com a melhor armadura.

Deste modo não só os bancos, mas todos os segmentos de mercado conseguem ter controle refinado de seus serviços expostos com aprimoramento de todas as funcionalidades.

A partir de agora, você só precisa refletir quais são os próximos passos que a tecnologia vai oferecer, e eu vou ajudar

Até onde as APIs dos Bancos podem chegar?

Pensando desta maneira, consigo imaginar um mundo no qual os bancos não apenas são integrados com parceiros e aplicativos através de APIs, mas conseguem sofrer uma nova disrupção digital, tendo quebras em serviços e aprimorando-os.

Ou seja, além de disponibilizar as APIs, os bancos serão quebrados em “pequenas mini empresas” que sempre melhoram o serviço de sua responsabilidade e oferecem vantagens claras para cada tipo de consumidor.

Desta maneira, os bancos irão conseguir ser sempre competitivos, se aprimorando sempre, e conseguindo entregar aos consumidores a maior e melhor experiência possível de interação.

Algo como as fintechs estão fazendo, mas dentro da estrutura já conhecida há muitos anos dos bancos.

Um dos pioneiros neste estilo de negócio é o Spotify, com a atribuição de Squads dentro de seus times. Para saber mais sobre eles, basta assistir esta palestra do Jamie no APIX 2015, gerente de produto no Spotify.

Como o segmento de open banking afeta nosso dia a dia, é impossível não sentirmos as diferenças de experiência de usuário e não nos apaixonarmos pela transformação digital.

Todo o mercado estará trilhando o caminho digital, entregando para os clientes um serviço melhor, especializado e com uma experiência de usuário fora de série.

Como sempre estou sempre a disposição para conversar sobre o tema, entre em contato ou deixe seu comentário abaixo ;D

Referências

• http://www.theregister.co.uk/2016/02/10/consumer_trust_central_to_success_of_uk_initiative_on_open_data_in_banking/
• http://www.bankingtech.com/437692/open-banking-standard-aims-to-share-a-banking-revolution/
• http://www.bankingtech.com/383591/is-everybody-api/
• http://www.programmableweb.com/news/capital-one-launches-first-true-open-banking-platform-u.s./2016/03/11
• http://nordicapis.com/fintech-and-apis-making-a-bank-programmable/

O post Open Banking Promovendo o futuro apareceu primeiro em Sensedia.

A “Internet das coisas”, (ou “Internet of Things”, IoT) está se tornando um tema cada vez mais comum em discussões externas ao TI.

É um conceito que não só tem o potencial de afetar o modo como vivemos, mas também a forma como trabalhamos e produzimos valor.

Mas o que exatamente é a Internet das Coisas e que impacto terá sobre você?

A Internet das Coisas

Há uma série de complexidades em torno da Internet das Coisas, mas basicamente é o conceito de conectar qualquer item à internet ou a outro dispositivo, através da Internet.

Isso inclui tudo, desde telefones celulares, máquinas de café, máquinas de lavar, fones de ouvido, lâmpadas, dispositivos portáteis e quase qualquer outra coisa que você possa pensar.

Sugestão: pense em um item corriqueiro e pesquise no Google “item conectado”. Por exemplo, “torradeira conectada”. Os resultados podem ser surpreendentes!

Isto também se aplica a componentes de máquinas, como um motor de jato de um avião ou a broca de uma plataforma petrolífera, por exemplo. Basicamente se existe um interruptor on e off, então há chances de que pode ser uma parte da Internet das Coisas.

E mesmo que não tenha um interruptor, nada impede que um seja inserido, como em roupas, criando os nossos queridos e polêmicos wearables.

Internet das Coisas e APIs

A ascensão da internet das coisas depende de uma série de tecnologias facilitadoras como RFID, IPv6, Big Data e interfaces de programação de aplicações (APIs).

As últimas são a chave para conectar dispositivos à internet, pois possuem protocolos simples, fáceis de implementar ao longo de várias diferentes camadas de transporte (WiFi, Bluetooth, celular etc.) e leves em recursos de computação.

Já demos algumas dicas de Design de APIs nesse Webinar aqui. Confira

As APIs são uma grande contribuição para a democratização de objetos conectados. Dessa forma, com o crescimento da Internet das Coisas, a necessidade de conectar os dispositivos crescerá, e assim, crescerão também as APIs.

A revolução do mercado

As APIs estão intimamente ligadas com a Internet das Coisas, pois permitem que você exponha dados e processos de forma segura, fomentando canais de contato e outras aplicações em sua infraestrutura de TI.

Somente o conceito de API já é um  bom investimento para seu negócio! Empresas como IFTTT e Zapier monetizaram exatamente esse tipo de conexão entre softwares.

Com a revolução da Internet das Coisas, cada dia mais e mais empresas vão implantar novas infraestruturas de API para suportar dispositivos conectados, escalando-as para milhões de objetos e bilhões de pontos de dados coletados.

Já há alguns anos, há mais objetos conectados do que pessoas. Considerando apenas dispositivos Smart, a estimativa é que chegaremos nos 25 bilhões de dispositivos em 2020 (via Statista e Gartner):

E cada dia vão demandar mais soluções de API. Tudo isso significa mais chances para os desenvolvedores e mais oportunidades de  negócios!

Segurança acima de tudo

As APIs só tendem a crescer com o aumento da IoT, mas é preciso tomar cuidado.

As pessoas e empresas que procuram oportunidades na Internet das Coisas com APIs devem levar muito a sério a gestão de dados e recursos. Como elas conectam “coisas” importantes como carros, dispositivos médicos, redes inteligentes e termostatos, a gestão de API deve ser flexível, escalável e — acima de tudo — segura.

Você provavelmente não quer hackers invadindo computadores de bordo do seu carro, enquanto você dirige.

O gerenciamento de APIs é um guarda-chuva sob o qual se agrupam um conjunto de soluções — como gateways, segurança e gerenciamento de acesso — cada um com seu próprio cenário de potencial desastre se algo der errado.

Ao contrário dos celulares que constantemente tem seus sistemas redefinidos para enfrentarem melhor falhas de segurança, algumas das “coisas inteligentes” podem não ser tão fáceis, ou mesmo possíveis, de atualizar.

Pense sobre isso

Qualidade técnica e recrutamento

Se as APIs são a peça chave para a manutenção da Internet das Coisas, mas, ao mesmo tempo, têm de ser extremamente seguras para que desastres não ocorram, é obvio que as empresas de ponta só contratarão os profissionais mais qualificados.

Por isso, se você tem desejo de se tornar um desenvolvedor de primeira é importante pesquisar, estudar e se dedicar. É um assunto ainda novo, com não tanta concorrência, e que exige conhecimentos em tecnologias de integração, redes e um pouco de hardware.

Logo, logo a disputa irá aumentar a complexidade dos conhecimentos também. 

E aí, animado para o futuro com objetos conectados em todos os espaços? Pensando em investir em um negócio, uma API ou no seu conhecimento técnico?

Deixe seu comentário sobre o assunto! =)

O post Como a Internet das Coisas vai potencializar o crescimento das APIs apareceu primeiro em Sensedia.

Neymar assinando seu contrato com o PSG.

Agosto de 2017 foi marcado pela mega transação futebolística do jogador brasileiro mais badalado do momento. Neymar deixou o Barcelona rumo ao PSG por uma quantia impressionante de dinheiro, tornando-se a maior transação financeira da história do futebol mundial. Até aí nada demais em relação a um esporte tão aclamado que os clubes tentam demonstrar sua força e poder constantemente, mas o que realmente chamou a atenção das pessoas foi a cena da assinatura do novo contrato. Neymar estava com uma camiseta regata do Batman, dessas que se compram em lojas convencionais de roupas, o que gerou inúmeros comentários de diversas perspectivas, tais como:

_ Tinha que ser moleque mesmo! No maior contrato da vida, nem pra se vestir certo.

_ Coisa de gente mimada que acha que pode fazer o que quer.

Porém, um desses comentários chamou muito a atenção:

_Se você é bom no que faz, pouco importa o que você está vestindo. Pagaram esse dinheiro pelo talento dele, não pelo que veste.

E isso é a mais absoluta verdade. Estamos acostumados a achar que uma bela roupagem vai deixar a gente mais apresentável e nossas falhas passarão despercebidas, e é esse ponto que queremos discutir aqui. Sua infra de TI não pode apenas ter essa bela roupagem, ela precisa ser como o Neymar, reconhecida pelos seus talentos e potenciais, não pelo que dizem sobre ou como se apresenta.

Por isso é de extrema importância, e urgência, que sua empresa revisite sua arquitetura de TI e saiba como estão os consumos de serviços. São escaláveis? Como eles se adaptam às novas regras de negócios? Qual a facilidade da implementação de um novo produto ou modelo de negócio?

Vejamos o caso de sistemas legados: Aquele conjunto de informações ricas e serviços que foram construídos ao longo dos anos não podem ser dispensados e reescritos do zero. Pensando como um time, legados atuam de maneira pesada, pouco escalável. É como ter um time todo em função de apenas um jogador: ele resolverá as partidas da maneira menos eficiente possível, e se esse seu jogador se machuca, o time inteiro fica perdido em campo.

Existem diversas alternativas para isso, algumas empresas são mais conservadoras a ponto de não querer alterar esse modelo, mas as empresas que realmente caminham para se tornarem digitais já estão se movimentando para solucionar essa situação. Uma das alternativas é a adoção de uma estratégia de Microserviços, que, de grosso modo, traz uma nova granularidade para seus serviços. Basicamente tira a dependência do principal jogador do time, e passa a explorar talentos individuais que podem ser trabalhados de maneira paralela de acordo com as necessidades.

O Brasil na Copa era um sistema legado e a Alemanha uma arquitetura de Microserviços

Por exemplo, o Neymar, por mais que faça gols, não consegue resolver o problema da zaga que está sendo acionada constantemente. Mas como o time todo é em função do Neymar (monolito), fica extremamente trabalhoso resolver os problemas da zaga – que são dois ou três jogadores com características e necessidades distintas -. Fazendo o paralelo com microserviços, a estratégia aqui é desprender esses jogadores e trabalhar cada talento individualmente, fazendo com que cumpram suas funções de maneira eficiente, e que direcionem o time todo para o mesmo objetivo. E se algum deles se machucar? Não tem problema, os outros continuam a partida do mesmo jeito até que ele volte a campo. Isso é ter um time talentoso, ou melhor, uma arquitetura de TI talentosa. A entrega para seu cliente ficará muito mais rica e com garantias de funcionalidades que certamente serão percebidas.

Estamos falando aqui de revolucionar a maneira como sua empresa funciona, tanto internamente quanto externamente. Ter essas garantias de serviços funcionais agregam valor para sua entrega, impactando em outras frentes diretamente. O seu branding deixa de ser um esforço de marca, e passa a ser algo quase natural à sua empresa, totalmente alinhado ao seu propósito de negócio.

Gerenciamento de APIs habilitando estratégias de Microserviços

Hoje as tecnologias estão a serviço das empresas. Não há mais a necessidade de trabalhosos e cansativos desenvolvimentos internos de soluções, que levam meses até serem concluídos – já falamos disso nesse artigo aqui -. As opções são inúmeras, e o melhor de tudo, são SaaS em sua grande maioria. Ter uma estratégia de APIs é fundamental para evidenciar todo o talento da sua empresa, e a implementação de uma estratégia de microserviços passa por ela.

Em linhas gerais, uma camada de APIs no seu legado pode acionar cada serviço para ser reescrito de maneira individual, fazendo com que ele seja desacoplado e independente. Direcioná-los para cloud passa a ser uma opção bastante viável, uma vez que você tem total controle do consumo, e a possibilidade de desligar individualmente em momentos que não estão sendo usados, ou que precisam de correções ou atualizações. Esse assunto já abordamos anteriormente em nosso blog, você pode conferir um pouco mais no artigo Arquitetura de Microserviços habilitando APIs

Uma Plataforma de Gerenciamento de APIs se torna essencial nesse processo para controle dos chamados e estatísticas de consumo das suas APIs. E é através dela que todo o talento da sua infra de TI será extraído e evidenciado para seu público, seja seus clientes, desenvolvedores parceiros ou na implementação de novos modelos de negócios no mercado.

A Sensedia é especialista em APIs e Gerenciamento de APIs com a plataforma Sensedia API Management, líder na América Latina e reconhecida internacionalmente por consultorias como Gartner e Forrester. Fomos responsáveis pela habilitação dos maiores marketplaces do Brasil, e pelas estratégias digitais de empresas como Bradesco, SulAmérica, Natura entre outras gigantes nacionais.

Acesse nosso Webinar sobre Microserviços ou entre em contato com a gente para saber mais sobre Estratégias de Microserviços e Estratégias de APIs para sua empresa.

O post Gerenciamento de APIs não é só uma bela roupagem apareceu primeiro em Sensedia.

Gerenciamento de APIs? Com plataforma?

Você já deve saber que estamos vivendo a Era das APIs.

Porém, não é só abrir seus dados e correr para o abraço. Uma camada de gerenciamento, com uma plataforma dedicada, é necessário para todo negócio que quer uma estratégia de APIs eficiente.

Mas primeiro, vamos definir plataforma de APIs:

Middleware que desenvolvedores usam para publicar e configurar interfaces e que aplicações acessam para se conectar a dados de serviços de que necessitam.

Veja então quatro grandes motivos para usar uma plataforma de gerenciamento para sua API:

1 – Integrações

Para desenvolver aplicativos móveis para clientes, parceiros e funcionários (veja as vantagens de cada um dos tipos de API nesse artigo), você precisa de um bom desempenho em conexões sem fio.

Ou seja, é necessário usar boas APIs RESTful, com acesso em tempo de execução e design voltado aos serviços de dados que estão sendo consumidos.

Pense nisso como uma tecnologia de conexão com a nuvem que leva e traz dados, da forma segura que o aplicativo móvel necessita.

E, à medida que as apps ficam mais e mais transacionais, fica crítica a necessidade de usar interfaces completas e práticas como as APIs.

Portanto, uma plataforma é fundamental para assegurar o nível de integrações cada vez maior do seu negócio.

2 – Sustentação

A complexidade e abrangência dos serviços de dados das APIs estão crescendo de forma exponencial.

Os aplicativos móveis cada vez mais sofisticados e interessantes, com mais conexões, conteúdo e colaboração, também empurram as barreiras de todos os pontos em que tais integrações ocorrem.

Ou seja, as interfaces RESTful dão os meios, mas ainda é necessário um sistema que sustente o grande volume.

Esse gap é ocupado pelas plataformas de gerenciamento.

3 – Flexibilidade

Hoje, estar atualizado com Android e iOS é o suficiente para a maioria dos negócios.

Mas a qualquer momento pode ser necessário suportar serviços em novos sistemas ou até em sistemas que hoje são de pequeno alcance, mas que podem despontar no futuro.

Também é interessante pensar na variedade de dispositivos smart (como os wearables) e com sensores. Uma API RESTful oferece uma barreira de baixa resistência para entrada em qualquer um desses meios.

E se sua API for pública, talvez você nem precise escrever código para a nova plataforma, uma vez que a comunidade de desenvolvedores ajuda a cumprir tal necessidade.

4 – Autonomia

As plataformas oferecem ao seu time de TI todas as ferramentas para gerenciar as transações e acessos aos seus servidores.

Isso porque você não tem recursos infinitos para colocar à disposição de seus usuários, clientes e parceiros.

Se você tem um smartphone, sabe que a tendência a checar seu status em redes sociais, mensagens, emails, notícias, etc., é muito maior do que se fazia quando tudo o que tínhamos eram desktops.

Em termos de aplicativos, cada um deles pode absorver uma grande quantidade de dados de sua API, de modo que sua alocação de recursos (de rede, banco de dados, financeiros) para cada aplicativo deve ser feita de modo controlado e inteligente.

Como escolher a plataforma de APIs certa?

Existem vários fornecedores de plataformas. Em quais características eu devo me atentar ao analisar uma plataforma?

Depende do que você precisa.

Escolher a tecnologia certa é um passo importante, porque você provavelmente vai usar a mesma tecnologia por muito tempo. Então, considere os seguintes aspectos:

O que importa mais para o meu negócio?

Segurança? Custo? Escalabilidade para novos mercados? Tudo isso?

Cada caso é um caso e, definitivamente, estabelecer suas prioridades é o primeiro passo para você continuar o processo de decisão.

Sistemas Legados

Como será a interação dos sistemas legados (aqueles que já estão sendo usados) com a nova plataforma de gerenciamento de API?

Uma forma de pensar muito interessante aqui é criar uma “plataforma de engajamento” da API, agregando a plataforma de gerenciamento, o desenvolvimento de aplicativos, as operações de middleware e outros sistemas atrelados.

Esse será um centro de custos do seu negócio e as etapas do processo todo devem conversar de forma fluída.

Essas diretrizes devem ajudá-lo a encontrar uma boa solução para as suas necessidades com APIs.

—

Gostou, mas ainda não sabe como criar sua API? Confira nossas dicas de Design de APIs e como criar uma API sensacional.

Ou entre em contato direto com a Sensedia.

O post Como escolher um gerenciamento de APIs corretamente apareceu primeiro em Sensedia.

A Sensedia, em parceria com o IDG / CIO, realizou a 1ª Pesquisa sobre o Estado das APIs no Brasil, com o intuito de mapear o uso das APIs nas estratégias das maiores empresas brasileiras.

A pesquisa contou com dados de 145 empresas e mais de 20 segmentos diferentes.

Todos os insights foram reunidos no report Estado das APIs no Brasil 2017 e disponibilizamos no link abaixo. Confira 😉

Tópicos presentes no Relatório:

• APIs e Objetivos
• APIs nas estratégias
• APIs em empresas Grandes, Médias, Pequenas e Startups
• Maturidade
• O que é mais importante no uso de APIs
• Casos de Uso
• Demanda para criação de APIs
• Fomento ao uso de APIs
• Desenvolvimento e Operação
• Principais Barreiras

Principais segmentos pesquisados:

• Software e TI
• Bancos e Financeiras
• E-commerce
• Seguros
• Saúde
• Telecomunicações
• Transportes

O post Report sobre o Estado das APIs no Brasil 2017 apareceu primeiro em Sensedia.

*originalmente publicado no Blog da Superlógica

Uma boa estratégia de APIs é um ponto fundamental para inovação dentro das empresas. E quando me refiro à inovação, falo no sentido geral da palavra. Faço referência tanto a processos internos quanto a viabilizar novos produtos e serviços com agilidade.

O caminho para que as APIs solucionem problemas e não gerem dores de cabeça é delicado. Ele não exige apenas uma mentalidade digital, mas uma colaboração entre desenvolvimento interno e fornecedores.

Por isso, listamos alguns pontos importantes para implementação de uma estratégia de APIs eficiente e que traga benefícios no curto prazo. Como fazer a transformação sem correr grandes riscos? Confira nosso guia básico, ou, se preferir, assista ao nosso webinar.

Primeiros passos para uma estratégia de APIs

1. Saiba quem você é

Ter as definições de missão, visão e valores é o básico, mas o ponto aqui é ir mais além nessa análise. Estamos tratando de níveis arquiteturais e de infraestrutura de TI. Uma análise detalhada da sua estrutura é fundamental para saber o nível de sua maturidade.

Ela está preparada? Qual a capacidade de acionamento do seu backend? Quais informações você precisa proteger?

2. Saiba o caminho que quer percorrer

Quais suas metas e objetivos em relação a isso? Quer integrar com parceiros? Promover inovação aberta? Experiências digitais? Enfim, existe uma série de perguntas a serem feitas para definir para onde seguir nas estratégias.

3. Quem terá acesso às suas informações?

Defina para quem você quer expor seus dados. Eles serão de uso interno, restrito a parceiros ou públicos? Cada um desses tem um impacto diferente em como trabalhar sua arquitetura e quais serão os caminhos a seguir na sua empresa.

Tenha isso muito claro não somente para seu time de TI, mas também para gestores e diretores das áreas envolvidas.

4. Faça um bom design de APIs

O design das APIs é fundamental para o bom funcionamento. É como qualquer outro produto: Se ele não entregar aquilo que promete, simplesmente não funciona. Fique atento aos padrões RESTful, e o mais importante: tenha uma documentação perfeita e de fácil acesso para que os usuários das suas APIs consigam extrair o máximo delas.

5. Faça o controle e monitoramento full lifecycle

Tenha total controle das suas APIs. Saiba quem está consumindo, como está consumindo e o que ela está entregando. Um gateway para controle de acessos é fundamental nesse processo, pois garantirá a proteção do seu backend e de suas informações.

Uma ferramenta de Analytics vai te dar insights técnicos e de negócios em relação ao tráfego, horários de pico e público-alvo. Lembra da documentação? Um DevPortal será a porta de entrada para o consumo das suas API, nele você consegue colocar a documentação, SDKs e ambientes Sandbox para testes.

Concluindo…

Não seja afobado para colocar em prática sua estratégia de APIs. Mas também não seja lento. Existe uma série de etapas a serem analisadas antes da implementação. Isso torna desenvolvimentos internos extremamente trabalhosos na grande maioria dos casos.

Investigue mais sobre o assunto e fale com especialistas que poderão te conduzir através dessa jornada. Certamente os ganhos serão notáveis dentro da organização e no mercado em que sua empresa atua, independente de qual seja.

Quer saber mais como iniciar uma estratégia de APIs? Mande uma mensagem pra gente.

O post Primeiros passos para uma estratégia de APIs apareceu primeiro em Sensedia.

Novo Paradigma da Educação Digital: Platform Thinking

Conforme a educação digital fica mais acessível, o crescimento na exposição de APIs tem impulsionado uma mudança para um novo paradigma, baseado em ecossistemas digitais. Além disso, as APIs também vêm desempenhando um papel decisivo na escalabilidade das EdTechs e nas novas tecnologias educacionais (Blockchain, Microcredentials, Tin Can API, IDaaS, Adaptive Learning, etc).

Essa adoção de APIs permite que as empresas de educação avancem a frente da mera digitalização de conteúdos, modernização da infraestrutura e integração dos processos, e abre o caminho para uma nova transformação digital, mais colaborativa e ampliada por exoestruturas na cloud e ecossistemas de parceiros.

APIs: Habilitadoras das Estratégias Digitais

As APIs (Application Programming Interfaces) são conectores que, de forma padronizada e aplicando mecanismos de segurança, viabilizam integrações ágeis e escaláveis entre parceiros e tecnologias (sistemas legados, software na nuvem, bancos de dados, aplicativos, dispositivos).

A estratégia baseada em ecossistemas habilitados por APIs é similar ao modelo de marketplaces aplicado pelos grandes e-commerces. Esses ecossistemas possibilitam compor serviços, ampliar ofertas e proporcionar experiências multicanais para seus usuários.

O Papel Decisivo das APIs nas Edtechs

As APIs também têm um papel fundamental na escalabilidade das Edtechs, permitindo que usem exostruturas enxutas na cloud (sem instalações/atualizações complicadas) e, de forma ágil e dinâmica, ampliem suas ofertas ao compor serviços com parceiros e reconfigurar suas estratégias de negócio.

Essa composição de serviços pode ser entre parceiros do próprio segmento da educação, mas também incluir empresas de outros segmentos que utilizem APIs (AI+Analytics, Telecom, Pagamentos, Programas de Fidelidade, Publicidade, etc).

No caso de exposição de APIs públicas e de disponibilizá-las através de um dev portal, desenvolvedores independentes podem criar negócios em cima dos dados/serviços expostos pelas APIs, gerar novas fontes de receita e obter insights a partir de iniciativas de inovação aberta (por exemplo, hackathons).

Experiência do Aluno adaptada e enriquecida

O uso de APIs pode também melhorar a experiência de aprendizagem, que tem ocorrido de forma cada vez mais fragmentada por diferentes canais, sistemas e formatos. Somada a padrões abertos como LTI (Learning Tools Interoperability) e Tin Can API (também conhecido como Experience API ou xAPI), a interoperabilidade facilitada pelas APIs propicia a entrega de conteúdos de diferentes fontes, canais e formatos, que sejam da maneira mais adequada para o aluno, e efetuar o tracking integrado do avanço da aprendizagem.

Os dados de tracking integrados podem ser conectados via APIs em serviços de AI+Analytics e gerar análises preditivas, sentiment analysis, reconhecimento de padrões, alimentar assistentes virtuais, recomendção de conteúdos, fornecer adaptive learning paths, dentre outros recursos — que irão personalizar, adaptar e enriquecer a experiência de aprendizagem de cada aluno.

API Management como plataforma para Estratégias Digitais

O crescimento das APIs para habilitar ecossistemas digitais, aprimorar a experiência de usuários e suportar a operação de sistemas legados com novos padrões e tecnologias (Blockchain, IoT, AI+Analytics, Microcredentials, LTI, Tin Can API, etc) aumenta a necessidade de gerenciamento eficaz dessas APIs e aplicação de controles relacionados a segurança, arquitetura, documentação, engajamento.

Através de uma plataforma de gerenciamento de APIs é possível combinar funcionalidades de diferentes sistemas e disponibilizá-las como serviços, controlando permissões de acesso, gerenciando a alocação dos recursos, disparar ações coordenadas, monetizando dados, colhendo métricas e gerando insights de negócio.

Uma plataforma completa de gerenciamento de APIs dispõe de ferramentas para apoiar o design das APIs (Mocks, Smart design, múltiplos ambientes de produção e teste) e o controle centralizado da exposição (Lifecycle, Versionamento, Analytics).

A exposição das APIs é feita com mediação da camada de gerenciamento, que aplica modernos padrões de segurança (Oauth, criptografia, threat protection, spike arrest, entre outros), de otimização da performance (Caching, Controle de quotas, Dashboards customizados, etc), de monetização e de transformação de dados (operação transparente, convertendo dados para diferentes padrões, de acordo com a interface).

Além das features para design, exposição e governança, os recursos de engajamento também são fundamentais, como o Dev Portal, para estimular o uso efetivo das APIs e colher feedbacks para melhoria contínua.

A Sensedia possui a solução de API Management líder na América Latina e é a primeira empresa brasileira no Gartner Full Lifecycle API-Management Magic Quadrant e no Forrester Wave API Management Solutions, além de possuir um time de consultoria para ajudar seus clientes nas estratégias de arquitetura, design de APIs e monetização.

Veja como a solução de API Management da Sensedia contribuiu na jornada de transformação digital da Estácio:

• Palestra do JORGE SANTOS, Ex-CIO da Estácio: “APIs como Driver de Transformação Digital em Educação” – APIX 2016

Deseja saber mais sobre como habilitar suas Estratégias Digitais usando APIs?

Vamos bater um papo, insira seus dados abaixo e logo entraremos em contato ;)

O post APIs e o novo paradigma da Educação Digital apareceu primeiro em Sensedia.

Segurança de APIs e de Apps

Dados críticos na nuvem, acesso mobile em todo lugar, IoT, Open Banking, plataformas digitais habilitadas por APIs ̶ e a segurança disso, como fica?

As APIs são a base para a transformação digital. A expansão das aplicações web e dos ecossistemas digitais impulsionados pelas web APIs aumentaram as preocupações com a segurança de toda essa exposição. Na pesquisa que a Sensedia realizou em parceria com a IDC, a segurança foi o item considerado de maior importância nas estratégias de APIs.

A OWASP (Open Web Application Security Project), para canalizar os esforços na segurança de aplicações e APIs, realizou um levantamento global e colaborativo com os 10 riscos de segurança mais críticos da web, conhecido como OWASP TOP 10.

O ranking é baseado nos dados colhidos e nas discussões com a comunidade, classificando os riscos de acordo com a OWASP Risk Rating Methodology e atribuindo uma gradação de 3 níveis para os seguintes critérios: Dificuldade do Ataque (Exploitability), Prevalência do Risco, Detecção do Risco (Detectability) e Impactos Técnicos.

No texto preliminar (RC1), o item “APIs desprotegidas” foi sugerido para integrar o ranking de 2017, mas foi retirado uma vez que as Web APIs estão suscetíveis a vários dos riscos mencionados, não fazendo muito sentido criar uma categoria à parte. Porém, no texto novo, foram feitas novas menções a APIs e a API Security Gateway.

As alterações nos itens rankeados foram as seguintes:

• Tópicos retirados, mas não esquecidos
  • 2013-A8 Cross-site Request Forgery (CSRF)
  • 2013-A10 Unvalidated Redirects and Forwards
• Tópicos adicionados
  • 2017-A4 XML External Entity (XXE)
  • 2017-A8 Insecure Deserialization
  • 2017-A10 Insufficient Logging & Monitoring

Classificação dos riscos: pode variar de acordo com as características de cada organização

Conforme mencionado na RC1, a detecção de vulnerabilidades em APIs pode ser mais difícil do que em aplicações, em virtude da falta de uma interface (UI) para testes e do uso de estruturas mais complexas de dados. Além disso, muitas vezes as APIs têm comunicação direta com sistemas críticos e, quando possuem brechas, podem facilitar o acesso e manipulação não-autorizada de dados sensíveis ou até o sequestro total do sistema.

A utilização de uma plataforma completa de API Management atua também como camada de proteção para o backend, com recursos para a detecção de falhas e de apoio ao design adequado das APIs, além de possibilitar a separação de ambientes e implementar diversos outros mecanismos para segurança, controle e análise.

Ranking 2017 OWASP Top 10 Riscos de Segurança na Web

A seguir, iremos descrever cada um dos 10 riscos do novo ranking da OWASP 2017 e as principais formas para mitigar esses riscos:

A1 – Injeção

As falhas causadas por injeção (como injeção de SQL) ocorrem quando dados maliciosos são enviados a um interpretador, que podem ser interpretados como comandos ou consultas que irão habilitar ações indesejadas.

Como prevenir?

Para prevenir este tipo de ataque é necessário validar se os dados trafegados pelas APIs possuem comandos recursivos em SQL, JSON, XML, entre outros, e evitar o uso do interpretador inteiramente, fornecendo uma interface parametrizada. Veja mais: Injection Prevention Cheat Sheet – OWASP

Como mitigar esse risco com API Management

Pode-se aplicar Interceptors de SQL threat protection, JSON threat protection, XML threat protection.

A2 – Quebra de Autenticação

Usuários podem se apoderar ou comprometer a autenticação por chaves, senhas, cookies e obter acessos não-autorizados.

Como prevenir?

É importante utilizar uma comunicação segura com two-way SSL e padrões de autenticação (como OAuth). Veja mais: Authentication Cheat Sheet – OWASP

Como mitigar esse risco com API Management

Habilitar comunicação two-way SSL e autenticação OAuth 2.0.

A3 – Exposição de Dados Sensíveis

Dados sensíveis podem ficar expostos se estiverem gravados e não-criptografados, ou com geração e gerenciamento fraco de chaves, ou algoritmos e técnicas de hashing fracos.

Como prevenir?

Para prevenir esta vulnerabilidade é possível utilizar a log obfuscation e data obfuscation, criptografar o canal de comunicação e utilizar Two-way SSL.

É importante não armazenar dados sensíveis sem necessidade, e criptografá-los, tanto quando estiverem em repouso quanto em trânsito.

Não deixe de desabilitar o autocompletar em formulários e o cache em páginas que contenham dados sensíveis. Veja mais: Cryptographic Storage Cheat Sheet – OWASP e Transport Layer Protection Cheat Sheet – OWASP.

Como mitigar esse risco com API Management

Além da comunicação com two-way SSL, habilitar Data Obfuscation, Log Obfuscation, Criptografia.

A4 – XML External Entities (XXE)

Muitos processadores de XML antigos permitem a especificação de uma entidade externa, uma URI desreferenciada e avaliada durante o processamento do XML. Essa falha permite a extração de dados, efetuar requisições no servidor, escanear sistemas internos, realizar DoS attacks, entre outros.

Como prevenir?

Aplique correções ou atualize os processadores de XML, bibliotecas e suas dependências, verifique se o upload de XML ou XSL realiza validação, utilize white list input validation, desabilite o processamento de XXE e DTD. Considere usar virtual patching, API security gateway ou WAFs. Veja mais: XML External Entity (XXE) Prevention Cheat Sheet – OWASP

Como mitigar esse risco com API Management

Habilitar o módulo de API security gateway, criação de white lists e aplicar interceptor para XML threat protection.

A5 – Controle de Acesso Quebrado

Ocorre quando há referências internas para objetos (como um arquivo, pasta ou registro) sem controle de acesso, que podem ser manipuladas para acessos indesejados.

Como prevenir?

Para amenizar esse risco, é importante criar referências indiretas a objetos por usuário ou sessão e verificar o acesso de fontes não-confiáveis na utilização de referências diretas. API rate limit pode minimizar possíveis danos. Veja mais: Access Control – OWASP

Como mitigar esse risco com API Management

Aplicar autenticação com OAuth 2.0, validação de acesso aos recursos com Plans, Rate Limit.

A6 – Configuração Incorreta de Segurança

Usuários podem conseguir executar ações indesejadas por falta de configuração correta de segurança.

Como prevenir?

Varreduras automáticas e periódicas são úteis para detectar falta de atualizações, erros de configuração, uso de contas padrão, etc. É importante ter um processo rápido e eficaz para implantar ambientes devidamente protegidos e para mantê-los atualizados, com uma arquitetura que ofereça uma separação segura dos componentes. Veja mais: Center for Internet Security CIS: Configuration Guidelines and Benchmarks

Como mitigar esse risco com API Management

Criação e separação de Environments, definição de Deploy Permissions, usar OAuth 2.0, criação e revogação de tokens, gerenciamento centralizado e auditoria de eventos.

A7 – Cross-Site Scripting (XSS)

No ataque XSS, scripts são adicionados antes dos dados serem enviados para ao browser e executados para sequestrar sessions, redirecionar para sites maliciosos ou desfigurar páginas.

Como prevenir?

Deve-se validar que as requisições e as respostas para que não contenham scripts. Veja mais: XSS (Cross Site Scripting) Prevention Cheat Sheet – OWASP

Como mitigar esse risco com API Management

Aplicação de interceptor específico de XSS threat protection para verificação de padrões maliciosos.

A8 – Des-serialização Insegura

Os aplicativos distribuídos com listeners públicos ou aplicativos que dependem da manutenção do estado do cliente, provavelmente permitem adulteração de dados serializados.

Como prevenir?

Não aceitar objetos serializados a partir de fontes não-confiáveis ou serialização que só permita tipos de dados primitivos. Se isso não for possível, implementar verificações de integridade ou criptografia dos objetos serializados para evitar a criação hostil de objetos ou adulteração de dados. Pode-se também aplicar restrições de strict type durante a des-serialização antes da criação do objeto. Outro ponto é isolar o código que des-serializa, como aqueles executados em ambientes de privilégios muito baixos ou contêineres temporários. É importante gravar em log as exceções e falhas de des-serialização. Restrinja ou monitore conectividade recebida e de saída de contêineres ou servidores que des-serializam e configure alertas para o caso de um usuário des-serializar constantemente. Veja mais: Deserialization Cheat Sheet – OWASP

Como mitigar esse risco com API Management

Definição white lists para fontes confiáveis, criar logs específicos para cada etapa da operação das APIs, realizar trace das calls e configurar alertas.

A9 – Utilização de Componentes com Vulnerabilidades Conhecidas

Atacante pode identificar componentes vulneráveis através de scanning ou análise manual.

Como prevenir?

Usar ferramentas para inventário de versões e dependências dos componentes (server-side e client-side). Monitorar vulnerabilidades em componentes a partir de fontes públicas como NVD e usar software para análise automática. É importante também desativar componentes que não serão utilizados, e aplicar atualizações e patches de fontes oficiais que previnam vulnerabilidades de serem exploradas. Veja mais: National Vulnerability Database – NVD

Como mitigar esse risco com API Management

Aplicar interceptor de String Match Conditions para validar chamadas a URLs com vulnerabilidades conhecidas.

A10 – Logging e Monitoramento Insuficientes

O registro inadequado de falhas, a falta de alertas e de bloqueios permitem que o atacante siga testando vulnerabilidades até conseguir uma que seja explorável.

Como prevenir?

O uso de formatos já amplamente utilizados como REST, GraphQL, JSON e aplicar os mecanismos de segurança já mencionados para garantir uma comunicação segura, um esquema forte de autenticação e de controle de acesso, além das proteções contra todos os tipos de injeções. Veja mais: Logging Cheat Sheet – OWASP

Como mitigar esse risco com API Management

Habilitar calls tracing e interceptor de Logging que pode ser aplicado nas etapas do processamento das APIs, configuração de alertas e dashboards customizados.

Sensedia API Platform – Segurança para suas APIs e Backend

A solução de Full Life Cycle API Management da Sensedia foi classificada como Visionária pelo Gartner e como Strong Performer pelo Forrester e oferece uma série de mecanismos para proteção e análise de suas APIs e do seu backend, disponibiliza ferramentas para otimização de recursos e para engajamento dos desenvolvedores, além de consultoria para construção segura de estratégias digitais e de arquiteturas baseadas em microserviços.

Deseja saber mais sobre como proteger suas APIs e seu backend? Deixe sua mensagem abaixo e fale com nossos especialistas:

Veja também:

• OWASP TOP 10 Proactive Controls
• Como melhorar a segurança das APIs
• Webinar Segurança de APIs – Sensedia

O post Top 10 Riscos de Segurança na Web (OWASP 2017) e como mitigá-los com API Management apareceu primeiro em Sensedia.

Indústria 4.0 não é apenas uma Smart Factory

A Indústria 4.0 é a nova onda de Transformação Digital no setor, incentivada pelos desenvolvimentos recentes nas tecnologias de Cloud, AI + Analytics, IoT e APIs. No entanto, os desafios desta transformação vão além da mera aquisição e assimilação de novas tecnologias.

O impacto é muito mais amplo (e as oportunidades também) e requer mudanças estratégicas e culturais, como a construção de ecossistemas digitais e Platform Thinking. Grandes players industriais estão a todo vapor na execução dessas estratégias, como a Caterpillar, GE e John Deere.

Alguns analistas qualificam essa transformação como parte de uma 4ª Revolução Industrial, com desdobramentos comparáveis ao surgimento da máquina a vapor, da energia elétrica e da informática.

fonte: https://www.i-scoop.eu/industry-4-0/

Muitas fábricas já apresentam um bom avanço na adoção de modernas tecnologias de operação (OT) e de informação (IT), com a instalação de maquinário inteligente e conectado, digitalização e automação de processos, e sistemas de análises preditivas. Porém, é comum apresentarem dificuldades de interoperabilidade e adaptabilidade, com sistemas isolados e monolíticos, em um ambiente com uma variedade de padrões, além da complexidade na integração com parceiros.

Parte da visão da Indústria 4.0 consiste em superar essas barreiras, habilitando o fluxo de informações e permitindo ações coordenadas entre colaboradores, sistemas, máquinas e parceiros externos. Isto é possível com o uso de APIs que – de forma padronizada e aplicando mecanismos de segurança – permitem a integração ágil e segura entre sistemas e dispositivos.

fonte: Gartner, 2015

Além de evitar retrabalhos, desperdícios e erros por falta de informações, a capacidade de integração ágil por meio de APIs reduz o time-to-market e facilita compor serviços de sistemas legados com novas tecnologias (por exemplo: AI + Analytics, aplicações na Cloud) e com outras fábricas ou parceiros externos.

Essa utilização de APIs facilita o desenvolvimento de uma arquitetura baseada em microserviços, ou seja, abstração de funcionalidades de sistemas monolíticos em serviços menores (microservices), que poderão ser consumidos e combinados como componentes por outros sistemas (isso pode ser feito sem impacto no backend).

A abordagem de microservices agiliza a entrega de novas funcionalidades e aplicações, possibilita o reuso de componentes (evitando desenvolvimentos paralelos), facilita o isolamento de falhas (os microserviços são tratados de forma independente) e favorece a escalabilidade.

Indústria 4.0 não é apenas Industrial IoT

Apesar da Industrial IoT (IIoT) ser um elemento decisivo, sem mecanismos adequados para uma integração ágil e segura com outros sistemas, será mais uma camada isolada de informações e de gestão complexa, abarcando uma variedade de tecnologias e riscos de segurança que precisarão ser mitigados.

Os dispositivos preparados para IoT, mesmo com a variedade de padrões e protocolos, podem enviar e receber dados via APIs no padrão REST, por ser um formato aberto, agnóstico, leve, assíncrono, stateless, globalmente aceito – o que já torna mais simples a integração com outros sistemas com APIs.

O uso das APIs permite que outros sistemas trabalhem com esses dados e disparem ações coordenadas, combinando funcionalidades e criando novas possibilidades de workflows. Essa integração pode ser feita para além da fábrica, a partir integrações via APIs restritas com parceiros externos.

Os projetos de IoT podem incluir um grande número de dispositivos e um volume massivo de dados, o que aumenta as preocupações em relação ao gerenciamento e segurança do acesso a esses dados.

Uma plataforma de APIs completa dispõe de mecanismos modernos de segurança (Oauth2, criptografia, tokens de acesso, permissões, entre outros), de análise (calls trace & logging, performance, dashboards, alerts, etc). Além disso, possui ferramentas para governança, realização de testes, design, documentação, otimização (caching, composição de chamadas, etc) e transformação de dados, de forma a promover o gerenciamento e o controle das integrações via APIs.

Indústria 4.0 é Integração, Responsividade e Controle

A verdadeira transformação está em combinar o poder das tecnologias de informação com as tecnologias de operação (convergência IT/OT), e as potencialidades de ação sinérgica com um ecossistema digital de parceiros. Isto é alcançável com uma estratégia de integração consistente através de uma plataforma de APIs e facilitado com uma arquitetura baseada em microserviços.

A variedade de padrões e dificuldades de interoperabilidade em OT podem ser endereçadas com as APIs no padrão REST, ligadas também aos serviços de IT. A partir da plataforma de APIs é possível ter visibilidade e controle dessas integrações, que podem ser realizadas de forma ágil, escalável e com aplicação de mecanismos de segurança (criptografia, Oauth, etc).

O ponto principal não é apenas a integração, mas a capacidade de integrar de forma ágil, escalável, segura e com gerenciamento – para conseguir aproveitar com rapidez as oportunidades, reduzir custos e time-to-market, além de ser capaz de se readaptar em resposta a desafios impostos por mercados cada vez mais competitivos.

A implantação de uma arquitetura ágil e integrada promove maior adaptabilidade e a plataforma de gerenciamento das APIs possibilita a visão completa e em tempo real dos serviços OT/IT e dos parceiros. A interligação por APIs com serviços de AI+Analytics viabilizam análises preditivas e automação de ações orquestradas com serviços internos e externos.

Indústria 4.0 é sobre Ecossistemas e Platform Thinking
 – Caterpillar, John Deere e GE já sabem!

Para aproveitar as oportunidades dessa nova onda de transformação digital, indústrias devem buscar uma estratégia de integração ágil, segura, escalável – combinando o potencial dos grandes drivers tecnológicos (IoT, AI+Analytics, Cloud) e fazendo arranjos criativos de oferta de valor com todo seu ecossistema de parceiros.

Dentre os arranjos possíveis de estratégias baseadas em plataformas digitais, o Gartner identifica 4 modelos principais:

• Plataformas de Colaboração (Collaboration) habilitam a operação conjunta de parceiros do ecossistema de novas formas.
• Plataformas de Orquestração (Orchestration) são um modelo de negócio que possibilitam processos de negócios em parceiros de ecossistemas.
• Plataformas de Correspondência (Matching) facilitam que clientes encontrem ofertantes (ex. Airbnb).
• Plataformas de Criação (Creation) habilitam parceiros a criar apps, produtos/serviços, capacidades e modelos de negócio.

A Caterpillar, Jonh Deere e GE são grandes exemplos de aplicação dessas estratégias. A Caterpillar participa dos seguintes negócios baseados em plataformas:

• CAT Connect: plataforma de IoT para seus dealers gerenciarem os equipamentos de seus clientes e estarem mais próximos.
• Uptake: uma startup que utiliza algoritmos para analisar grandes massas de dados em plataformas de IoT e fornecer insights para evitar downtimes em parceiros.
• Yard Club: startup que conecta pessoas que possuem equipamentos com aquelas que querem alugar seus equipamentos ociosos.

A GE, por sua vez, tem o Predix, plataforma que coleta e analisa dados de equipamentos industriais e a Predix Developer Network, uma plataforma aberta na qual desenvolvedores podem disponibilizar seus apps e algoritmos para análise e otimização de processos nas indústrias.

A John Deere disponibiliza várias APIs no seu Dev Portal para desenvolvedores independentes criarem aplicativos e negócios integrados que podem consumir e enviar dados. Esses dados também integram o MyJohnDeere Operations Center, onde seus clientes podem compartilhar seus dados com trusted advisors, colaborar com desenvolvedores e obter informações para tomada de decisão.

Essa plataforma de APIs da John Deere permitiu a fácil integração com DroneDeploy, serviço de dados para frotas de drones usados para mapeamento em agricultura e construção civil.

Para viabilizar essas estratégias baseadas em ecossistemas e plataformização, é crucial uma plataforma de APIs e é recomendável uma arquitetura baseada em microserviços.

Uma plataforma completa de APIs pode fornecer várias ferramentas para apoio na operação das APIs: API Gateway, Dev Portal, Analytics, Security, Lifecycle.

Pelo módulo de API Gateway e Security, são processadas as chamadas e aplicados os mecanismos de segurança e de controles de permissão. Pelo Dev Portal, é facilitada a utilização das suas APIs pelos developers parceiros do seu ecossistema, com acesso fácil a documentação, ambiente de teste, issue tracker.  No módulo de Lifecycle são processadas informações como ciclo de vida das APIs e versionamento. No módulo de Analytics são apresentadas métricas agregadas referentes a operação das APIs.

API Management Platform para Indústria 4.0 e IoT

A Sensedia possui a plataforma de API Management líder no Brasil, além de consultoria em Microservices, Governança e Design de APIs e de Serviços, para garantir o sucesso da sua Arquitetura e de suas Estratégias Digitais.

A Plataforma de APIs da Sensedia facilita a exposição, consumo e gerenciamento de recursos para a criação de Apps, integração com parceiros e clientes, desenvolvimento de melhores experiências digitais, IoT e estratégias de inovação aberta.

Além disso, a Sensedia também é a primeira empresa brasileira no Gartner Full Lifecycle API-Management Magic Quadrant e no Forrester Wave API Management Solutions.

Deseja saber mais sobre como habilitar uma Estratégia de APIs e Microserviços?

Vamos bater um papo. Insira seus dados, logo entraremos em contato 😉

O post Por que a Indústria 4.0 e IoT precisam de APIs? apareceu primeiro em Sensedia.

A relação entre APIs e IoT

A “Internet das coisas”, (ou “Internet of Things”, IoT) está se tornando um tema cada vez mais comum em discussões externas à tecnologia. Isso porque IoT já se tornou um termo comercial, influenciando não só o modo como vivemos, mas também a forma como trabalhamos e produzimos valor.

Essa tendência cresce em diversas frentes, principalmente em automação doméstica e industrial. Mas o que exatamente é a Internet das Coisas e que impacto terá sobre você?

O que é Internet das Coisas?

Em primeiro lugar, a Internet das Coisas é o fenômeno de transformar objetos “offline em online”.

Alguns gadgets mais famosos, como o fracassado Google Glass e o quase fracassado Apple Watch, trouxeram algumas dessas novidades para o dia-a-dia dos consumidores, de uma forma mais explosiva. Obviamente,  Internet das Coisas não é apenas fracassos. Muito pelo contrário: os eletrodomésticos e utilitários inteligentes, como TVs, lâmpadas, carros e até assistentes pessoais.

Nos últimos meses, vimos diversos novos assistentes, como o Google Home e o Amazon Echo. Ambos os aparelhos possuem interfaces para se comunicarem com ferramentas de terceiros. Esse é o caso do Spotify, serviço de streaming de músicas que pode ser acionado com comandos de voz pelo Echo, criando um novo canal de uso da plataforma.

De fato, a Internet das Coisas realmente não é um fracasso: estima-se que haverá 50 bilhões de dispositivos conectados até 2020 (veja mais abaixo).

Se quiser saber mais, fica uma sugestão: pense em um item corriqueiro e pesquise no Google “item conectado”. Por exemplo, “torradeira conectada”. Os resultados podem ser surpreendentes!

Mas não é só em casa que estão os dispositivos conectados. Isto também se aplica a componentes de máquinas, como um motor de jato de um avião ou a broca de uma plataforma petrolífera, por exemplo. Outro exemplo são as roupas com tecnologias eletrônicas, conhecidas como wearables. Para roupas esportivas, já é uma realidade.

Pense bem: qualquer peça, máquina ou dispositivo que puder ter um processador embarcado, melhorando seu desempenho ou adicionando praticidade e funcionalidades, pode se tornar um dispositivo conectado! Já existem até casas inteiramente automatizadas, que podem começar a “preparar o ambiente”, ligando o ar-condicionado/aquecedor ou pré-aquecendo o forno para a janta, antes chegada do dono, quando estiver vindo do trabalho, por exemplo.

Serviços como o IFTTT cresceram muito e se especializaram em integrar diferentes produtos e serviços. Vale a pena dar uma olhada.

Internet das Coisas e APIs

Certo, então a Internet das Coisas está no nosso cotidiano, sendo usada em serviços e na indústria. Mas como ela funciona? Como é possível que uma lâmpada, uma geladeira, ou até roupas conectem-se à Internet e entre si?

A resposta está em pequenos processadores, normalmente mais simples do que o seu computador ou celular, mas poderosos o suficiente para coletar dados, processar informações e estabelecer as conexões necessárias. Essa é a parte de hardware. Mas o que interessa para esse texto é o software.

A ascensão da Internet das Coisas depende de uma série de tecnologias facilitadoras como RFID, IPv6, Big Data e interfaces de programação de aplicações (APIs).

(Se você não sabe o que são APIs, temos uma série de artigos que explica em detalhes)

Em resumo, APIs são a chave para conectar dispositivos à internet, pois possuem protocolos simples, fáceis de implementar ao longo de várias diferentes camadas de transporte (WiFi, Bluetooth, celular etc.) e leves em recursos de computação.

Basicamente, são pequenos pedaços de software que permitem acessar funções de outros softwares, com poucas linhas de código. No caso do IFTTT, citado acima, é possível fazer conexões como alterar as luzes (lâmpadas Philips Hue) do ambiente quando você acorda, recebe uma mensagem no celular ou até quando sai um gol do seu time.

Dessa maneira, as APIs são uma grande contribuição para a democratização de objetos conectados. Assim, a relação entre APIs e IoT passa a ser tão forte e necessária, que o resultado é que a Internet das Coisas irá potencializar a Economia das APIs!

Fará cada vez mais sentido usar as APIs prontas, de diversos serviços de qualidade, para integrar e conectar os objetos e dispositivos.

O resultado dessa simbiose é uma transformação no mercado da Internet das Coisas.

A revolução do mercado

As APIs estão intimamente ligadas com a Internet das Coisas, pois permitem que você exponha dados e processos de forma segura, fomentando canais de contato e outras aplicações em sua infraestrutura de TI.

Com a revolução da Internet das Coisas, cada dia mais e mais empresas vão implantar novas infraestruturas de API para suportar dispositivos conectados, escalando-as para milhões de objetos e bilhões de pontos de dados coletados.

Já há alguns anos, há mais objetos conectados do que pessoas. Considerando apenas dispositivos Smart, a estimativa é que chegaremos nos 25 bilhões de dispositivos em 2020 (via Statista e Gartner):

E cada dia vão demandar mais soluções de API. Tudo isso significa mais chances para os desenvolvedores e mais oportunidades de negócios!

Outro dado interessante: segundo o International Data Corporation, os faturamentos totais em IoT chegarão a 1,7 trilhões de dólares, até 2020! Ta bom ou quer mais?

Segurança acima de tudo

Mesmo com esse prospecto extremamente otimista, nem tudo são flores.

As pessoas e empresas que procuram oportunidades na Internet das Coisas com APIs devem levar muito a sério a gestão de dados e recursos. Como elas conectam “coisas” importantes como carros, dispositivos médicos, redes inteligentes e termostatos, a gestão de API deve ser flexível, escalável e — acima de tudo — segura.

Com a potencialização das APIs via IoT, é preciso tomar cuidado. Mais e mais dados de todos os tipos (sigilosos ou não) serão transmitidos através das APIs, o que precede sistemas de segurança robustos. As APIs oferecem dispositivos de segurança, que devem ser usados.

Você provavelmente não quer hackers invadindo computadores de bordo do seu carro, enquanto você dirige.

Conceitos como gerenciamento de APIs é um guarda-chuva sob o qual se agrupam um conjunto de soluções — como gateways, segurança e gerenciamento de acesso — cada um com seu próprio cenário de potencial desastre se algo der errado.

Ao contrário dos celulares que constantemente tem seus sistemas redefinidos para enfrentarem melhor falhas de segurança, alguns dos objetos inteligentes podem não ser tão fáceis, ou mesmo possíveis, de atualizar.

Um caso recente e triste dessa linha é o encerramento dos serviços da produtora de smartwatches Pebble.

Pense sobre isso

Qualidade técnica e recrutamento

Se as APIs são a peça chave para a manutenção da Internet das Coisas, mas, ao mesmo tempo, têm de ser extremamente seguras para que desastres não ocorram, é obvio que as empresas de ponta só contratarão os profissionais mais qualificados.

Nesse sentido, o próprio desenvolvimento de dispositivos conectados envolverá conhecimentos de integração, gerenciamento de APIs e segurança de dados.

Por isso, se você tem desejo de se tornar um desenvolvedor de primeira é importante pesquisar, estudar e se dedicar. É um assunto ainda novo, com não tanta concorrência, e que exige conhecimentos em tecnologias de integração, redes e um pouco de hardware.

Logo, logo a disputa irá aumentar a complexidade dos conhecimentos também. 

E aí, animado para o futuro com objetos conectados em todos os espaços? Pensando em investir em um negócio, uma API ou no seu conhecimento técnico?

Deixe seu comentário sobre o assunto! =)

O post A relação entre APIs e IoT: como a Internet das Coisas irá potencializar a Economia das APIs apareceu primeiro em Sensedia.

Neymar assinando seu contrato com o PSG.

Agosto de 2017 foi marcado pela mega transação futebolística do jogador brasileiro mais badalado do momento. Neymar deixou o Barcelona rumo ao PSG por uma quantia impressionante de dinheiro, tornando-se a maior transação financeira da história do futebol mundial. Até aí nada demais em relação a um esporte tão aclamado que os clubes tentam demonstrar sua força e poder constantemente, mas o que realmente chamou a atenção das pessoas foi a cena da assinatura do novo contrato. Neymar estava com uma camiseta regata do Batman, dessas que se compram em lojas convencionais de roupas, o que gerou inúmeros comentários de diversas perspectivas, tais como:

_ Tinha que ser moleque mesmo! No maior contrato da vida, nem pra se vestir certo.

_ Coisa de gente mimada que acha que pode fazer o que quer.

Porém, um desses comentários chamou muito a atenção:

_Se você é bom no que faz, pouco importa o que você está vestindo. Pagaram esse dinheiro pelo talento dele, não pelo que veste.

E isso é a mais absoluta verdade. Estamos acostumados a achar que uma bela roupagem vai deixar a gente mais apresentável e nossas falhas passarão despercebidas, e é esse ponto que queremos discutir aqui. Sua infra de TI não pode apenas ter essa bela roupagem, ela precisa ser como o Neymar, reconhecida pelos seus talentos e potenciais, não pelo que dizem sobre ou como se apresenta.

Por isso é de extrema importância, e urgência, que sua empresa revisite sua arquitetura de TI e saiba como estão os consumos de serviços. São escaláveis? Como eles se adaptam às novas regras de negócios? Qual a facilidade da implementação de um novo produto ou modelo de negócio?

Vejamos o caso de sistemas legados: Aquele conjunto de informações ricas e serviços que foram construídos ao longo dos anos não podem ser dispensados e reescritos do zero. Pensando como um time, legados atuam de maneira pesada, pouco escalável. É como ter um time todo em função de apenas um jogador: ele resolverá as partidas da maneira menos eficiente possível, e se esse seu jogador se machuca, o time inteiro fica perdido em campo.

Existem diversas alternativas para isso, algumas empresas são mais conservadoras a ponto de não querer alterar esse modelo, mas as empresas que realmente caminham para se tornarem digitais já estão se movimentando para solucionar essa situação. Uma das alternativas é a adoção de uma estratégia de Microserviços, que, de grosso modo, traz uma nova granularidade para seus serviços. Basicamente tira a dependência do principal jogador do time, e passa a explorar talentos individuais que podem ser trabalhados de maneira paralela de acordo com as necessidades.

O Brasil na Copa era um sistema legado e a Alemanha uma arquitetura de Microserviços

Por exemplo, o Neymar, por mais que faça gols, não consegue resolver o problema da zaga que está sendo acionada constantemente. Mas como o time todo é em função do Neymar (monolito), fica extremamente trabalhoso resolver os problemas da zaga – que são dois ou três jogadores com características e necessidades distintas -. Fazendo o paralelo com microserviços, a estratégia aqui é desprender esses jogadores e trabalhar cada talento individualmente, fazendo com que cumpram suas funções de maneira eficiente, e que direcionem o time todo para o mesmo objetivo. E se algum deles se machucar? Não tem problema, os outros continuam a partida do mesmo jeito até que ele volte a campo. Isso é ter um time talentoso, ou melhor, uma arquitetura de TI talentosa. A entrega para seu cliente ficará muito mais rica e com garantias de funcionalidades que certamente serão percebidas.

Estamos falando aqui de revolucionar a maneira como sua empresa funciona, tanto internamente quanto externamente. Ter essas garantias de serviços funcionais agregam valor para sua entrega, impactando em outras frentes diretamente. O seu branding deixa de ser um esforço de marca, e passa a ser algo quase natural à sua empresa, totalmente alinhado ao seu propósito de negócio.

Gerenciamento de APIs habilitando estratégias de Microserviços

Hoje as tecnologias estão a serviço das empresas. Não há mais a necessidade de trabalhosos e cansativos desenvolvimentos internos de soluções, que levam meses até serem concluídos – já falamos disso nesse artigo aqui -. As opções são inúmeras, e o melhor de tudo, são SaaS em sua grande maioria. Ter uma estratégia de APIs é fundamental para evidenciar todo o talento da sua empresa, e a implementação de uma estratégia de microserviços passa por ela.

Em linhas gerais, uma camada de APIs no seu legado pode acionar cada serviço para ser reescrito de maneira individual, fazendo com que ele seja desacoplado e independente. Direcioná-los para cloud passa a ser uma opção bastante viável, uma vez que você tem total controle do consumo, e a possibilidade de desligar individualmente em momentos que não estão sendo usados, ou que precisam de correções ou atualizações. Esse assunto já abordamos anteriormente em nosso blog, você pode conferir um pouco mais no artigo Arquitetura de Microserviços habilitando APIs

Uma Plataforma de Gerenciamento de APIs se torna essencial nesse processo para controle dos chamados e estatísticas de consumo das suas APIs. E é através dela que todo o talento da sua infra de TI será extraído e evidenciado para seu público, seja seus clientes, desenvolvedores parceiros ou na implementação de novos modelos de negócios no mercado.

A Sensedia é especialista em APIs e Gerenciamento de APIs com a plataforma Sensedia API Management, líder na América Latina e reconhecida internacionalmente por consultorias como Gartner e Forrester. Fomos responsáveis pela habilitação dos maiores marketplaces do Brasil, e pelas estratégias digitais de empresas como Bradesco, SulAmérica, Natura entre outras gigantes nacionais.

Acesse nosso Webinar sobre Microserviços ou entre em contato com a gente para saber mais sobre Estratégias de Microserviços e Estratégias de APIs para sua empresa.

O post Gerenciamento de APIs não é só uma bela roupagem apareceu primeiro em Sensedia.

Gerenciamento de APIs? Com plataforma?

Você já deve saber que estamos vivendo a Era das APIs.

Porém, não é só abrir seus dados e correr para o abraço. Uma camada de gerenciamento, com uma plataforma dedicada, é necessário para todo negócio que quer uma estratégia de APIs eficiente.

Mas primeiro, vamos definir plataforma de APIs:

Middleware que desenvolvedores usam para publicar e configurar interfaces e que aplicações acessam para se conectar a dados de serviços de que necessitam.

Veja então quatro grandes motivos para usar uma plataforma de gerenciamento para sua API:

1 – Integrações

Para desenvolver aplicativos móveis para clientes, parceiros e funcionários (veja as vantagens de cada um dos tipos de API nesse artigo), você precisa de um bom desempenho em conexões sem fio.

Ou seja, é necessário usar boas APIs RESTful, com acesso em tempo de execução e design voltado aos serviços de dados que estão sendo consumidos.

Pense nisso como uma tecnologia de conexão com a nuvem que leva e traz dados, da forma segura que o aplicativo móvel necessita.

E, à medida que as apps ficam mais e mais transacionais, fica crítica a necessidade de usar interfaces completas e práticas como as APIs.

Portanto, uma plataforma é fundamental para assegurar o nível de integrações cada vez maior do seu negócio.

2 – Sustentação

A complexidade e abrangência dos serviços de dados das APIs estão crescendo de forma exponencial.

Os aplicativos móveis cada vez mais sofisticados e interessantes, com mais conexões, conteúdo e colaboração, também empurram as barreiras de todos os pontos em que tais integrações ocorrem.

Ou seja, as interfaces RESTful dão os meios, mas ainda é necessário um sistema que sustente o grande volume.

Esse gap é ocupado pelas plataformas de gerenciamento.

3 – Flexibilidade

Hoje, estar atualizado com Android e iOS é o suficiente para a maioria dos negócios.

Mas a qualquer momento pode ser necessário suportar serviços em novos sistemas ou até em sistemas que hoje são de pequeno alcance, mas que podem despontar no futuro.

Também é interessante pensar na variedade de dispositivos smart (como os wearables) e com sensores. Uma API RESTful oferece uma barreira de baixa resistência para entrada em qualquer um desses meios.

E se sua API for pública, talvez você nem precise escrever código para a nova plataforma, uma vez que a comunidade de desenvolvedores ajuda a cumprir tal necessidade.

4 – Autonomia

As plataformas oferecem ao seu time de TI todas as ferramentas para gerenciar as transações e acessos aos seus servidores.

Isso porque você não tem recursos infinitos para colocar à disposição de seus usuários, clientes e parceiros.

Se você tem um smartphone, sabe que a tendência a checar seu status em redes sociais, mensagens, emails, notícias, etc., é muito maior do que se fazia quando tudo o que tínhamos eram desktops.

Em termos de aplicativos, cada um deles pode absorver uma grande quantidade de dados de sua API, de modo que sua alocação de recursos (de rede, banco de dados, financeiros) para cada aplicativo deve ser feita de modo controlado e inteligente.

Como escolher a plataforma de APIs certa?

Existem vários fornecedores de plataformas. Em quais características eu devo me atentar ao analisar uma plataforma?

Depende do que você precisa.

Escolher a tecnologia certa é um passo importante, porque você provavelmente vai usar a mesma tecnologia por muito tempo. Então, considere os seguintes aspectos:

O que importa mais para o meu negócio?

Segurança? Custo? Escalabilidade para novos mercados? Tudo isso?

Cada caso é um caso e, definitivamente, estabelecer suas prioridades é o primeiro passo para você continuar o processo de decisão.

Sistemas Legados

Como será a interação dos sistemas legados (aqueles que já estão sendo usados) com a nova plataforma de gerenciamento de API?

Uma forma de pensar muito interessante aqui é criar uma “plataforma de engajamento” da API, agregando a plataforma de gerenciamento, o desenvolvimento de aplicativos, as operações de middleware e outros sistemas atrelados.

Esse será um centro de custos do seu negócio e as etapas do processo todo devem conversar de forma fluída.

Essas diretrizes devem ajudá-lo a encontrar uma boa solução para as suas necessidades com APIs.

—

Gostou, mas ainda não sabe como criar sua API? Confira nossas dicas de Design de APIs e como criar uma API sensacional.

Ou entre em contato direto com a Sensedia.

O post Como escolher um gerenciamento de APIs corretamente apareceu primeiro em Sensedia.

A Sensedia, em parceria com o IDG / CIO, realizou a 1ª Pesquisa sobre o Estado das APIs no Brasil, com o intuito de mapear o uso das APIs nas estratégias das maiores empresas brasileiras.

A pesquisa contou com dados de 145 empresas e mais de 20 segmentos diferentes.

Todos os insights foram reunidos no report Estado das APIs no Brasil 2017 e disponibilizamos no link abaixo. Confira

Tópicos presentes no Relatório:

• APIs e Objetivos
• APIs nas estratégias
• APIs em empresas Grandes, Médias, Pequenas e Startups
• Maturidade
• O que é mais importante no uso de APIs
• Casos de Uso
• Demanda para criação de APIs
• Fomento ao uso de APIs
• Desenvolvimento e Operação
• Principais Barreiras

Principais segmentos pesquisados:

• Software e TI
• Bancos e Financeiras
• E-commerce
• Seguros
• Saúde
• Telecomunicações
• Transportes

O post Report sobre o Estado das APIs no Brasil 2017 apareceu primeiro em Sensedia.